Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Agentes de escucha TLS del balanceador de carga de red
Para utilizar un agente de escucha TLS, debe implementar al menos un certificado de servidor en el balanceador de carga. El balanceador de carga utiliza un certificado de servidor para terminar la conexión front-end y descifrar las solicitudes de los clientes antes de enviarlas a los destinos. Tenga en cuenta que si necesita transferir tráfico cifrado a los destinos sin que el equilibrador de carga lo descifre, debe crear un oyente de TCP en el puerto 443 en lugar de crear un oyente de TLS. El equilibrador de carga transfiere la solicitud al destino tal cual, sin descifrarla.
Elastic Load Balancing utiliza una configuración de negociación de TLS, lo que se conoce como política de seguridad, para negociar las conexiones de TLS entre un cliente y el equilibrador de carga. Una política de seguridad es una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos usan diversos cifrados para cifrar los datos a través de Internet. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. El primer cifrado de la lista del servidor que coincide con uno de los cifrados del cliente se selecciona para la conexión segura.
Los equilibradores de carga de red no admiten la renegociación de TLS ni la autenticación de TLS mutuo (mTLS). En el caso de la compatibilidad con mTLS, cree un oyente de TCP en lugar de uno de TLS. El equilibrador de carga transmite la solicitud tal cual, de modo que puede implementar mTLS en el destino.
Para crear un agente de escucha TLS, consulte Añadir un agente de escucha. Para ver demostraciones relacionadas, consulte la Compatibilidad con TLS en el equilibrador de carga de red
Certificados de servidor
El balanceador de carga requiere certificados X.509 (certificado de servidor). Los certificados son un formulario digital de identificación emitido por una entidad de certificación (CA). Un certificado contiene información de identificación, un periodo de validez, una clave pública, un número de serie y la firma digital del emisor.
Al crear un certificado para utilizarlo con el equilibrador de carga, debe especificar un nombre de dominio. El nombre de dominio del certificado debe coincidir con el registro del nombre de dominio personalizado para poder verificar la conexión TLS. Si no coinciden, no se cifrará el tráfico.
Debe especificar un nombre de dominio completo (FQDN) para el certificado, por ejemplo, www.example.com, o bien un nombre de dominio de ápex, por ejemplo, example.com. También puede utilizar un asterisco (*) como comodín para proteger varios nombres de sitios del mismo dominio. Cuando se solicita un certificado comodín, el asterisco (*) debe encontrarse en la posición situada más a la izquierda del nombre de dominio, y solo puede proteger un nivel de subdominio. Por ejemplo, *.example.com protege corp.example.com y images.example.com, pero no puede proteger test.login.example.com. Además, tenga en cuenta que *.example.com solo protege los subdominios de example.com; no protege el dominio desnudo o ápex (example.com). El nombre del caracter comodín aparecerá en el campo Sujeto y en la extensión Nombre alternativo del sujeto del certificado. Para obtener más información sobre certificados públicos, consulte Solicitud de un certificado público en la Guía del usuario de AWS Certificate Manager .
Le recomendamos que utilice AWS Certificate Manager (ACM)
Como alternativa, puede utilizar las herramientas de TLS para crear una solicitud de firma de certificado (CSR) y, a continuación, conseguir que una CA firme la CSR para generar un certificado y, a continuación, importar el certificado a ACM o cargarlo en (IAM). AWS Identity and Access Management Para obtener más información, consulte Importación de certificados en la Guía del usuario de AWS Certificate Manager o Trabajo con certificados de servidor en la Guía del usuario de IAM.
Contenido
Algoritmos clave compatibles
RSA de 1024 bits
RSA de 2048 bits
RSA de 3072 bits
ECDSA de 256 bits
ECDSA de 384 bits
ECDSA de 521 bits
Certificado predeterminado
Al crear un agente de escucha TLS, debe especificar exactamente un certificado. Este certificado se conoce como certificado predeterminado. Puede sustituir el certificado predeterminado después de crear el agente de escucha TLS. Para obtener más información, consulte Reemplazar el certificado predeterminado.
Si especifica certificados adicionales en una lista de certificados, el certificado predeterminado se utiliza solo si un cliente se conecta sin utilizar el protocolo de indicación de nombre de servidor (SNI) para especificar un nombre de host o si no hay certificados coincidentes en la lista de certificados.
Si no especifica certificados adicionales pero tiene que alojar varias aplicaciones seguras a través de un único equilibrador de carga, puede utilizar un certificado comodín o añadir un nombre alternativo de asunto (SAN) para cada dominio adicional al certificado.
Lista de certificados
Después de crear un agente de escucha TLS, tiene un certificado predeterminado y una lista de certificados vacía. Opcionalmente puede añadir certificados a la lista de certificados para el oyente. El uso de una lista de certificados permite al equilibrador de carga admitir varios dominios en el mismo puerto y proporcionar un certificado diferente para cada dominio. Para obtener más información, consulte Agregar certificados a la lista de certificados.
El equilibrador de carga utiliza un algoritmo de selección de certificados inteligentes compatible con SNI. Si el nombre de host proporcionado por un cliente coincide con un único certificado en la lista de certificados, el equilibrador de carga selecciona este certificado. Si un nombre de host proporcionado por un cliente coincide con varios certificados de la lista de certificados, el equilibrador de carga selecciona el mejor certificado que el cliente puede admitir. La selección de certificados se basa en los siguientes criterios en este orden:
-
Algoritmo de hash (prefieren SHA frente a MD5)
-
Longitud de clave (prefieren la mayor)
-
Periodo de validez
Las entradas del registro de acceso del equilibrador de carga indican el nombre de host especificado por el cliente y el certificado presentado al cliente. Para obtener más información, consulte Entradas de los registros de acceso.
Renovación de certificados
Cada certificado viene con un periodo de validez. Debe asegurarse de renovar o reemplazar cada certificado para su equilibrador de carga antes de que finalice su período de validez. Esto incluye el certificado predeterminado y los certificados en una lista de certificados. La renovación o reemplazo de un certificado no afecta a las solicitudes en tránsito que ha recibido el nodo del equilibrador de carga y que están pendiente de ser direccionadas a un destino con un estado correcto. Una vez que se ha renovado un certificado, las nuevas solicitudes utilizan el certificado renovado. Una vez que se ha sustituido un certificado, las nuevas solicitudes utilizan el nuevo certificado.
Puede administrar la renovación y la sustitución de certificados de la siguiente manera:
-
Los certificados proporcionados AWS Certificate Manager e implementados en el balanceador de cargas se pueden renovar automáticamente. ACM intenta renovar los certificados antes de que venzan. Para obtener más información, consulte Renovación administrada en la Guía del usuario de AWS Certificate Manager .
-
Si el certificado se importó en ACM, deberá monitorear la fecha de vencimiento del certificado y renovarlo antes de que venza. Para obtener más información, consulte Importación de certificados en la Guía del usuario de AWS Certificate Manager .
-
Si importa un certificado en IAM, debe crear un nuevo certificado, importar el nuevo certificado en ACM o IAM, añadir el nuevo certificado al equilibrador de carga y eliminar el certificado caducado del equilibrador de carga.
Políticas de seguridad
Al crear un agente de escucha TLS, debe seleccionar una política de seguridad. Puede actualizar la política de seguridad según sea necesario. Para obtener más información, consulte Actualizar la política de seguridad.
Consideraciones:
-
La
ELBSecurityPolicy-TLS13-1-2-2021-06política es la política de seguridad predeterminada para los oyentes de TLS creados con. AWS Management Console-
Recomendamos la política de
ELBSecurityPolicy-TLS13-1-2-2021-06seguridad, que incluye TLS 1.3 y es compatible con versiones anteriores de TLS 1.2.
-
-
La
ELBSecurityPolicy-2016-08política es la política de seguridad predeterminada para los oyentes de TLS creados con. AWS CLI -
Puede elegir la política de seguridad que se utilizará para las conexiones frontales, pero no para las conexiones finales.
-
En el caso de las conexiones de backend, si su oyente de TLS utiliza una política de seguridad de TLS 1.3, se utilizará la política de seguridad
ELBSecurityPolicy-TLS13-1-0-2021-06. De lo contrario, la política de seguridadELBSecurityPolicy-2016-08se utiliza con las conexiones de backend.
-
-
Para cumplir con las normas de seguridad y conformidad que obligan a deshabilitar determinadas versiones del protocolo TLS, o para dar soporte a los clientes antiguos que requieren cifrados obsoletos, puede utilizar una de las políticas de seguridad.
ELBSecurityPolicy-TLS-Puede habilitar los registros de acceso para obtener información sobre las solicitudes de TLS enviadas a su Network Load Balancer, analizar los patrones de tráfico de TLS, gestionar las actualizaciones de las políticas de seguridad y solucionar problemas. Habilita el registro de acceso para tu balanceador de cargas y examina las entradas del registro de acceso correspondientes. Para obtener más información, consulte Registros de acceso y Consultas de ejemplo del equilibrador de carga de red. -
Puedes restringir las políticas de seguridad que están disponibles para los usuarios en todas tus políticas de IAM Cuentas de AWS y de control de servicios (SCP), respectivamente, y AWS Organizations mediante las claves de condición de Elastic Load Balancing. Para obtener más información, consulte las políticas de control de servicios (SCP) en la Guía del usuario AWS Organizations
Políticas de seguridad de TLS 1.3
Elastic Load Balancing proporciona las siguientes políticas de seguridad de TLS 1.3 para los balanceadores de carga de red:
-
ELBSecurityPolicy-TLS13-1-2-2021-06(Recomendado) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06 -
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 -
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 -
ELBSecurityPolicy-TLS13-1-1-2021-06 -
ELBSecurityPolicy-TLS13-1-0-2021-06 -
ELBSecurityPolicy-TLS13-1-3-2021-06
Políticas de seguridad FIPS
El Estándar Federal de Procesamiento de la Información (FIPS) es un estándar gubernamental de EE. UU. y Canadá que especifica los requisitos de seguridad de los módulos criptográficos que protegen la información confidencial. Para obtener más información, consulte la Norma Federal de Procesamiento de Información (FIPS) 140
Todas las políticas FIPS aprovechan el módulo criptográfico AWS-LC validado por FIPS. Para obtener más información, consulte la página del módulo criptográfico AWS-LC
Elastic Load Balancing proporciona las siguientes políticas de seguridad FIPS para Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(Recomendado) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Para las políticas admitidas
Elastic Load Balancing proporciona las siguientes políticas de seguridad compatibles con FS (Forward Secrecy) para los balanceadores de carga de red:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10 -
ELBSecurityPolicy-FS-1-2-Res-2019-08 -
ELBSecurityPolicy-FS-1-2-2019-08 -
ELBSecurityPolicy-FS-1-1-2019-08 -
ELBSecurityPolicy-FS-2018-06
Políticas de seguridad de TLS 1.0 a 1.2
Elastic Load Balancing proporciona las siguientes políticas de seguridad TLS 1.0 a 1.2 para los balanceadores de carga de red:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06 -
ELBSecurityPolicy-TLS-1-2-2017-01 -
ELBSecurityPolicy-TLS-1-1-2017-01 -
ELBSecurityPolicy-2016-08 -
ELBSecurityPolicy-TLS-1-0-2015-04 -
ELBSecurityPolicy-2015-05(idéntico a)ELBSecurityPolicy-2016-08
Protocolos y cifrados TLS
Políticas de ALPN
La negociación de protocolo de capa de aplicación (ALPN) es una extensión TLS que se envía en los mensajes de saludo iniciales de TLS. ALPN permite a la capa de aplicación negociar qué protocolos deben utilizarse a través de una conexión segura, como HTTP/1 y HTTP/2.
Cuando el cliente inicia una conexión de ALPN, el balanceador de carga compara la lista de preferencias de ALPN del cliente con su política de ALPN. Si el cliente admite un protocolo de la política de ALPN, el balanceador de carga establece la conexión en función de la lista de preferencias de la política de ALPN. De lo contrario, el balanceador de carga no utiliza ALPN.
Políticas de ALPN admitidas
Las siguientes son las políticas de ALPN admitidas:
HTTP1Only-
Negocian solo HTTP/1.*. La lista de preferencias de ALPN es http/1.1, http/1.0.
HTTP2Only-
Negocian solo HTTP/2. La lista de preferencias de ALPN es h2.
HTTP2Optional-
Prefieren HTTP/1.* sobre HTTP/2 (que puede ser útil para pruebas HTTP/2). La lista de preferencias de ALPN es http/1.1, http/1.0, h2.
HTTP2Preferred-
Prefieren HTTP/2 sobre HTTP/1.*. La lista de preferencias de ALPN es h2, http/1.1, http/1.0.
None-
No negocian ALPN. Esta es la opción predeterminada.
Habilitar conexiones de ALPN
Puede habilitar conexiones de ALPN cuando cree o modifique un agente de escucha TLS. Para obtener más información, consulte Añadir un agente de escucha y Actualizar la política de ALPN.
