Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
TLSécouteurs pour votre Network Load Balancer
Pour utiliser un TLS écouteur, vous devez déployer au moins un certificat de serveur sur votre équilibreur de charge. L'équilibreur de charge utilise un certificat de serveur pour mettre fin à la connexion frontale, puis déchiffrer les demandes des clients avant de les envoyer aux cibles. Notez que si vous devez transmettre du trafic chiffré aux cibles sans que l'équilibreur de charge ne le déchiffre, créez un TCP écouteur sur le port 443 au lieu de créer un écouteur. TLS L'équilibreur de charge transmet la demande à la cible telle quelle, sans la déchiffrer.
Elastic Load Balancing utilise une configuration de TLS négociation, connue sous le nom de politique de sécurité, pour négocier TLS les connexions entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur, et s'assure que toutes les données transmises entre le client et votre équilibreur de charge sont privées. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles utilisent plusieurs chiffrements pour chiffrer les données sur Internet. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Le premier chiffrement sur la liste du serveur qui correspond à l'un des chiffrements du client est sélectionné pour la connexion sécurisée.
Les équilibreurs de charge réseau ne prennent pas en charge la TLS renégociation ou l'TLSauthentification mutuelle (m). TLS Pour mon TLS support, créez un TCP écouteur au lieu d'un TLS écouteur. L'équilibreur de charge transmet la demande telle quelle, afin que vous puissiez implémenter m TLS sur la cible.
Pour créer un TLS écouteur, voirAjouter un écouteur. Pour les démonstrations associées, consultez TLSSupport on Network Load
Certificats de serveur
L'équilibreur de charge exige des certificats X.509 (certificats de serveur). Les certificats constituent une forme numérique d'identification émise par une autorité de certification (AC). Un certificat contient les informations d'identification, une période de validité, une clé publique, un numéro de série et la signature numérique de l'émetteur.
Lorsque vous créez un certificat à utiliser avec votre équilibreur de charge, vous devez spécifier un nom de domaine. Le nom de domaine figurant sur le certificat doit correspondre à l'enregistrement du nom de domaine personnalisé afin que nous puissions vérifier la TLS connexion. S'ils ne correspondent pas, le trafic n'est pas chiffré.
Vous devez spécifier un nom de domaine complet (FQDN) pour votre certificat, par exemple www.example.com ou un nom de domaine apex tel queexample.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique pour protéger plusieurs noms de sites dans le même domaine. Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver tout à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com protège corp.example.com et images.example.com, mais ne peut pas protéger test.login.example.com. Notez également que *.example.com ne protège que les sous-domaines de example.com, il ne protège pas le domaine strict ou apex (example.com). Le nom générique apparaît dans le champ Objet et dans l'extension Autre nom de l'objet du certificat. Pour plus d'informations sur les certificats publics, consultez Demande de certificat public du Guide de l'utilisateur AWS Certificate Manager .
Nous vous recommandons de créer des certificats pour vos équilibreurs de charge à l'aide de AWS Certificate Manager (ACM).
Vous pouvez également utiliser TLS des outils pour créer une demande de signature de certificat (CSR), puis la faire CSR signer par une autorité de certification pour produire un certificat, puis importer le certificat ACM ou le télécharger dans AWS Identity and Access Management (IAM). Pour plus d'informations, voir Importation de certificats dans le guide de AWS Certificate Manager l'utilisateur ou Utilisation de certificats de serveur dans le guide de IAM l'utilisateur.
Table des matières
Algorithmes clés supportés
RSA1024 bits
RSA2048 bits
RSA3072 bits
ECDSA256 bits
ECDSA384 bits
ECDSA521 bits
Certificat par défaut
Lorsque vous créez un TLS écouteur, vous devez spécifier un seul certificat. Ce certificat est connu comme le certificat par défaut. Vous pouvez remplacer le certificat par défaut après avoir créé l'TLSécouteur. Pour de plus amples informations, veuillez consulter Remplacer le certificat par défaut.
Si vous spécifiez des certificats supplémentaires dans une liste de certificats, le certificat par défaut n'est utilisé que si un client se connecte sans utiliser le protocole Server Name Indication (SNI) pour spécifier un nom d'hôte ou s'il n'y a aucun certificat correspondant dans la liste des certificats.
Si vous ne spécifiez pas de certificats supplémentaires mais que vous devez héberger plusieurs applications sécurisées via un seul équilibreur de charge, vous pouvez utiliser un certificat générique ou ajouter un nom alternatif de sujet (SAN) pour chaque domaine supplémentaire à votre certificat.
Liste de certificats
Une fois que vous avez créé un TLS écouteur, celui-ci possède un certificat par défaut et une liste de certificats vide. Vous pouvez éventuellement ajouter des certificats à la liste de certificats pour l'écouteur. Grâce à une liste de certificats, l’équilibreur de charge peut ainsi prendre en charge plusieurs domaines sur le même port et fournir un certificat différent pour chaque domaine. Pour de plus amples informations, veuillez consulter Ajouter des certificats à la liste des certificats.
L'équilibreur de charge utilise un algorithme de sélection de certificats intelligents prenant en chargeSNI. Si le nom d'hôte fourni par un client correspond à un seul certificat de la liste de certificats, l'équilibreur de charge sélectionne ce certificat. Si un nom d'hôte fourni par un client correspond à plusieurs certificats de la liste de certificats, l'équilibreur de charge sélectionne celui qui est le mieux adapté par rapport aux capacités du client. La sélection des certificats dépend des critères suivants, dans l'ordre indiqué :
-
Algorithme de hachage (à SHA MD5 préférer)
-
Longueur de clé (préférer la plus longue)
-
Période de validité
Les entrées de journaux d'accès de l'équilibreur de charge indiquent le nom d'hôte spécifié par le client et le certificat présenté à ce dernier. Pour de plus amples informations, veuillez consulter Entrées des journaux d'accès.
Renouvellement des certificats
Chaque certificat est associé à une durée de validité. Vous devez veiller à renouveler ou remplacer chaque certificat pour votre équilibreur de charge avant la fin de la période de validité. Cela inclut le certificat par défaut les certificats dans une liste de certificats. Le renouvellement ou le remplacement d'un certificat n'affecte pas les demandes en cours reçues par le nœud d'équilibreur de charge et qui sont en attente d'acheminement vers une cible saine. Après le renouvellement d'un certificat, les nouvelles demandes utilisent le certificat renouvelé. Après le remplacement d'un certificat, les nouvelles demandes utilisent le nouveau certificat.
La gestion des renouvellements et des remplacements s'effectue comme suit :
-
Les certificats fournis AWS Certificate Manager et déployés sur votre équilibreur de charge peuvent être renouvelés automatiquement. ACMtente de renouveler les certificats avant leur expiration. Pour plus d'informations, consultez Renouvellement géré dans le Guide de l'utilisateur AWS Certificate Manager .
-
Si vous avez importé un certificat dansACM, vous devez surveiller sa date d'expiration et le renouveler avant son expiration. Pour plus d'informations, consultez la section Importation de certificats dans le AWS Certificate Manager Guide de l'utilisateur.
-
Si vous avez importé un certificat dansIAM, vous devez créer un nouveau certificat, importer le nouveau certificat dans ACM ou IAM ajouter le nouveau certificat à votre équilibreur de charge et supprimer le certificat expiré de votre équilibreur de charge.
Stratégies de sécurité
Lorsque vous créez un TLS écouteur, vous devez sélectionner une politique de sécurité. Vous pouvez mettre à jour la stratégie de sécurité si nécessaire. Pour de plus amples informations, veuillez consulter Mettre à jour la stratégie de sécurité.
Considérations :
-
Il s'agit
ELBSecurityPolicy-TLS13-1-2-2021-06de la politique de sécurité par défaut pour les TLS écouteurs créés à l'aide du AWS Management Console.-
Nous recommandons la politique
ELBSecurityPolicy-TLS13-1-2-2021-06de sécurité, qui inclut la version TLS 1.3 et qui est rétrocompatible avec la version TLS 1.2.
-
-
Il s'agit
ELBSecurityPolicy-2016-08de la politique de sécurité par défaut pour les TLS écouteurs créés à l'aide du AWS CLI. -
Vous pouvez choisir la politique de sécurité qui est utilisée pour les connexions frontales, mais pas pour les connexions dorsales.
-
Pour les connexions principales, si votre TLS écouteur utilise une politique de sécurité TLS 1.3, c'est la politique de
ELBSecurityPolicy-TLS13-1-0-2021-06sécurité qui est utilisée. Dans le cas contraire, la stratégie de sécuritéELBSecurityPolicy-2016-08est utilisée pour les connexions backend.
-
-
Pour respecter les normes de conformité et de sécurité qui nécessitent la désactivation de certaines versions de TLS protocole, ou pour prendre en charge les anciens clients nécessitant des chiffrements obsolètes, vous pouvez utiliser l'une des politiques de sécurité.
ELBSecurityPolicy-TLS-Vous pouvez activer les journaux d'accès pour obtenir des informations sur les TLS demandes envoyées à votre Network Load Balancer, analyser les modèles de TLS trafic, gérer les mises à niveau des politiques de sécurité et résoudre les problèmes. Activez la journalisation des accès pour votre équilibreur de charge et examinez les entrées du journal d'accès correspondantes. Pour plus d'informations, veuillez consulter Accès aux journaux (langue française non garantie) et Exemples de requêtes du Network Load Balancer. -
Vous pouvez restreindre les politiques de sécurité accessibles aux utilisateurs de votre pays Comptes AWS et en AWS Organizations utilisant les clés de condition Elastic Load Balancing dans vos IAM politiques de contrôle des services (SCPs), respectivement. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur
TLS1.3 politiques de sécurité
Elastic Load Balancing fournit les politiques de sécurité TLS 1.3 suivantes pour les Network Load Balancers :
-
ELBSecurityPolicy-TLS13-1-2-2021-06(Recommandé) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06 -
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 -
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 -
ELBSecurityPolicy-TLS13-1-1-2021-06 -
ELBSecurityPolicy-TLS13-1-0-2021-06 -
ELBSecurityPolicy-TLS13-1-3-2021-06
FIPSpolitiques de sécurité
La norme fédérale de traitement de l'information (FIPS) est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Pour en savoir plus, consultez la norme fédérale de traitement de l'information (FIPS) 140
Toutes les FIPS politiques exploitent le AWS module cryptographique FIPS validé -LC. Pour en savoir plus, consultez la page du module cryptographique AWS -LC
Elastic Load Balancing fournit les politiques FIPS de sécurité suivantes pour Network Load Balancer :
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(Recommandé) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 -
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Politiques FS prises en charge
Elastic Load Balancing fournit les politiques de sécurité compatibles FS (Forward Secrecy) suivantes pour les Network Load Balancers :
-
ELBSecurityPolicy-FS-1-2-Res-2020-10 -
ELBSecurityPolicy-FS-1-2-Res-2019-08 -
ELBSecurityPolicy-FS-1-2-2019-08 -
ELBSecurityPolicy-FS-1-1-2019-08 -
ELBSecurityPolicy-FS-2018-06
TLSPolitiques de sécurité 1.0 - 1.2
Elastic Load Balancing fournit les politiques de sécurité TLS 1.0 à 1.2 suivantes pour les Network Load Balancers :
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06 -
ELBSecurityPolicy-TLS-1-2-2017-01 -
ELBSecurityPolicy-TLS-1-1-2017-01 -
ELBSecurityPolicy-2016-08 -
ELBSecurityPolicy-TLS-1-0-2015-04 -
ELBSecurityPolicy-2015-05(identique àELBSecurityPolicy-2016-08)
TLSprotocoles et chiffrements
ALPNpolitiques
La négociation du protocole Application-Layer (ALPN) est une TLS extension envoyée lors des premiers messages de bonjour de TLS poignée de main. ALPNpermet à la couche applicative de négocier les protocoles à utiliser sur une connexion sécurisée, tels que HTTP /1 et HTTP /2.
Lorsque le client établit une ALPN connexion, l'équilibreur de charge compare la liste de ALPN préférences du client avec sa ALPN politique. Si le client prend en charge un protocole issu de la ALPN politique, l'équilibreur de charge établit la connexion en fonction de la liste de préférences de la ALPN politique. Dans le cas contraire, l'équilibreur de charge ne s'utilise ALPN pas.
ALPNPolitiques prises en charge
Les ALPN politiques prises en charge sont les suivantes :
HTTP1Only-
Négocier uniquement HTTP /1. *. La liste de ALPN préférences est http/1.1, http/1.0.
HTTP2Only-
Négocier uniquement HTTP /2. La liste de ALPN préférences est h2.
HTTP2Optional-
Préférez HTTP /1. * à HTTP /2 (ce qui peut être utile pour les tests HTTP /2). La liste de ALPN préférences est http/1.1, http/1.0, h2.
HTTP2Preferred-
Préférez HTTP /2 à HTTP /1. *. La liste de ALPN préférences est h2, http/1.1, http/1.0.
None-
Ne négociez pasALPN. Il s’agit de l’option par défaut.
Activer ALPN les connexions
Vous pouvez activer ALPN les connexions lorsque vous créez ou modifiez un TLS écouteur. Pour plus d’informations, consultez Ajouter un écouteur et Mettre à jour la ALPN politique.
