Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
TLSascoltatori per il tuo Network Load Balancer
Per utilizzare un TLS listener, è necessario distribuire almeno un certificato del server sul sistema di bilanciamento del carico. Il sistema di bilanciamento del carico utilizza il certificato del server per terminare la connessione front-end e quindi decrittografare le richieste provenienti dai client prima di inoltrarle ai target. Tieni presente che se devi trasmettere traffico crittografato alle destinazioni senza che il sistema di bilanciamento del carico lo decrittografi, crea un TCP listener sulla porta 443 anziché creare un listener. TLS Il sistema di bilanciamento del carico trasmette la richiesta alla destinazione così com'è, senza decrittografarla.
Elastic Load Balancing utilizza una configurazione di TLS negoziazione, nota come policy di sicurezza, per negoziare TLS le connessioni tra un client e il load balancer. Una policy di sicurezza è una combinazione di protocolli e codici. Il protocollo stabilisce una connessione sicura tra un client e un server e garantisce che tutti i dati trasferiti tra il client e il sistema di bilanciamento del carico siano privati. Un codice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. I protocolli utilizzano diversi codici per crittografare i dati su Internet. Durante il processo di negoziazione della connessione, il client e il sistema di bilanciamento del carico forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. La prima crittografia nell'elenco del server che corrisponde a una qualsiasi delle crittografie del client viene selezionata per la connessione sicura.
I Network Load Balancer non supportano la TLS rinegoziazione o l'autenticazione reciproca (m). TLS TLS Per il mio TLS supporto, crea un TCP listener anziché un listener. TLS Il load balancer passa la richiesta così com'è, quindi puoi implementare m TLS sulla destinazione.
Per creare un listener, consultaTLS. Aggiunta di un listener Per le demo correlate, vedere TLSSupport on Network Load Balancer
Certificati server
Il sistema di bilanciamento del carico utilizza un certificato X.509 (certificato server). I certificati sono un modulo digitale di identificazione emesso da un'autorità di certificazione (CA). Un certificato contiene informazioni di identificazione, un periodo di validità, una chiave pubblica, un numero di serie e la firma digitale dell'emittente.
Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio. Il nome di dominio sul certificato deve corrispondere al record del nome di dominio personalizzato in modo da poter verificare la connessione. TLS Se i due nomi non corrispondono, il traffico non viene crittografato.
È necessario specificare un nome di dominio completo (FQDN) per il certificato, ad esempio www.example.com
o un nome di dominio apex comeexample.com
. Per proteggere diversi nomi di siti nello stesso dominio, è inoltre possibile utilizzare un asterisco (*) come carattere jolly. Quando si fa richiesta di un certificato jolly, l'asterisco (*) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, *.example.com
protegge corp.example.com
e images.example.com
, ma non può proteggere test.login.example.com
. Si noti inoltre come *.example.com
protegga solo i sottodomini di example.com
e non il dominio essenziale o apex (example.com
). Il nome con il carattere jolly appare nel campo Oggetto e nell'estensione Nome oggetto alternativo del certificato. Per ulteriori informazioni sui certificati pubblici, consulta Richiesta di un certificato pubblico nella Guida per l'utente di AWS Certificate Manager .
Ti consigliamo di creare certificati per i tuoi sistemi di bilanciamento del carico utilizzando AWS Certificate Manager (). ACM
In alternativa, puoi utilizzare TLS gli strumenti per creare una richiesta di firma del certificato (CSR), farla CSR firmare da una CA per produrre un certificato, quindi importare il certificato ACM o caricarlo su (). AWS Identity and Access Management IAM Per ulteriori informazioni, consulta Importazione di certificati nella Guida per l'AWS Certificate Manager utente o Utilizzo dei certificati del server nella Guida per l'IAMutente.
Indice
Algoritmi chiave supportati
RSA1024 bit
RSA2048 bit
RSA3072 bit
ECDSA256 bit
ECDSA384 bit
ECDSA521 bit
Certificato predefinito
Quando si crea un TLS listener, è necessario specificare esattamente un certificato. Questo certificato è noto come certificato predefinito. È possibile sostituire il certificato predefinito dopo aver creato il TLS listener. Per ulteriori informazioni, consulta Sostituzione del certificato predefinito.
Se specificate certificati aggiuntivi in un elenco di certificati, il certificato predefinito viene utilizzato solo se un client si connette senza utilizzare il protocollo Server Name Indication (SNI) per specificare un nome host o se non ci sono certificati corrispondenti nell'elenco dei certificati.
Se non specificate certificati aggiuntivi ma avete bisogno di ospitare più applicazioni sicure tramite un unico sistema di bilanciamento del carico, potete utilizzare un certificato wildcard o aggiungere un Subject Alternative Name (SAN) per ogni dominio aggiuntivo del certificato.
Elenco dei certificati
Dopo aver creato un TLS listener, ha un certificato predefinito e un elenco di certificati vuoto. Facoltativamente, è possibile aggiungere certificati all’elenco certificati per il listener. In questo modo un sistema di bilanciamento del carico può supportare più domini sulla stessa porta e fornire un certificato diverso per ogni dominio. Per ulteriori informazioni, consulta Aggiunta di certificati all’elenco dei certificati.
Il load balancer utilizza un algoritmo di selezione intelligente dei certificati con supporto per. SNI Se il nome host fornito da un client corrisponde a un singolo certificato nell'elenco dei certificati, il sistema di bilanciamento del carico seleziona tale certificato. Se un nome host fornito da un client corrisponde a più certificati nell'elenco dei certificati, il sistema di bilanciamento del carico seleziona il miglior certificato che il client è in grado di supportare. La selezione del certificato si basa sui seguenti criteri nell'ordine seguente:
-
Algoritmo di hashing (da preferireSHA) MD5
-
Lunghezza della chiave (preferire la più lunga)
-
Periodo di validità
Le voci nei log di accesso al sistema di bilanciamento del carico indicano il nome host specificato dal client e il certificato presentato al client. Per ulteriori informazioni, consulta Voci dei log di accesso.
Rinnovo del certificato
Ogni certificato include un periodo di validità. Devi assicurarti di rinnovare o sostituire il certificato per il sistema di bilanciamento del carico prima della fine del suo periodo di validità. Sono inclusi il certificato predefinito e i certificati presenti nel relativo elenco. Nota che il rinnovo o la sostituzione di un certificato non influenza le normali richieste che erano state ricevute da un nodo del sistema di bilanciamento del carico e che sono in attesa di essere instradate a una destinazione integra. Dopo il rinnovo di un certificato, le nuove richieste utilizzano il certificato rinnovato. Dopo la sostituzione di un certificato, le nuove richieste utilizzano il nuovo certificato.
È possibile gestire il rinnovo e la sostituzione del certificato come segue:
-
I certificati forniti AWS Certificate Manager e distribuiti sul sistema di bilanciamento del carico possono essere rinnovati automaticamente. ACMtenta di rinnovare i certificati prima della scadenza. Per ulteriori informazioni, consulta Rinnovo gestito nella Guida per l'utente di AWS Certificate Manager .
-
Se hai importato un certificato inACM, devi monitorare la data di scadenza del certificato e rinnovarlo prima che scada. Per ulteriori informazioni, consulta Importazione di certificati nella Guida per l'utente di AWS Certificate Manager .
-
Se hai importato un certificato inIAM, devi creare un nuovo certificato, importare il nuovo certificato in ACM oIAM, aggiungere il nuovo certificato al sistema di bilanciamento del carico e rimuovere il certificato scaduto dal sistema di bilanciamento del carico.
Policy di sicurezza
Quando crei un TLS listener, devi selezionare una politica di sicurezza. Puoi aggiornare la policy di sicurezza in base alle esigenze. Per ulteriori informazioni, consulta Aggiornamento della policy di sicurezza.
Considerazioni:
-
La
ELBSecurityPolicy-TLS13-1-2-2021-06
politica è la politica di sicurezza predefinita per i TLS listener creata utilizzando. AWS Management Console-
Consigliamo la politica
ELBSecurityPolicy-TLS13-1-2-2021-06
di sicurezza, che include la TLS versione 1.3 ed è retrocompatibile con TLS la versione 1.2.
-
-
La
ELBSecurityPolicy-2016-08
politica è la politica di sicurezza predefinita per i TLS listener creata utilizzando. AWS CLI -
È possibile scegliere la politica di sicurezza utilizzata per le connessioni front-end, ma non per le connessioni backend.
-
Per le connessioni di backend, se il TLS listener utilizza una politica di sicurezza TLS 1.3, viene utilizzata la
ELBSecurityPolicy-TLS13-1-0-2021-06
politica di sicurezza. In caso contrario, per le connessioni di back-end viene utilizzata la policy di sicurezzaELBSecurityPolicy-2016-08
.
-
-
Per soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di determinate versioni TLS del protocollo o per supportare client legacy che richiedono cifrari obsoleti, puoi utilizzare una delle politiche di sicurezza.
ELBSecurityPolicy-TLS-
Puoi abilitare i log di accesso per informazioni sulle TLS richieste inviate al tuo Network Load Balancer, TLS analizzare i modelli di traffico, gestire gli aggiornamenti delle politiche di sicurezza e risolvere i problemi. Abilita la registrazione degli accessi per il tuo load balancer ed esamina le voci del registro di accesso corrispondenti. Per ulteriori informazioni, consulta Log di accesso e Query di esempio di Network Load Balancer. -
Puoi limitare le policy di sicurezza disponibili per gli utenti in tutto il tuo Account AWS e AWS Organizations utilizzando le chiavi di condizione Elastic Load Balancing nelle tue IAM politiche di controllo del servizio (SCPs), rispettivamente. Per ulteriori informazioni, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente
TLS1.3 politiche di sicurezza
Elastic Load Balancing fornisce le seguenti politiche di sicurezza TLS 1.3 per Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
(Consigliato) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
-
ELBSecurityPolicy-TLS13-1-1-2021-06
-
ELBSecurityPolicy-TLS13-1-0-2021-06
-
ELBSecurityPolicy-TLS13-1-3-2021-06
FIPSpolitiche di sicurezza
Il Federal Information Processing Standard (FIPS) è uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Per ulteriori informazioni, consulta Federal Information Processing Standard (FIPS) 140
Tutte le FIPS politiche sfruttano il modulo crittografico FIPS convalidato AWS -LC. Per saperne di più, consulta la pagina del modulo crittografico AWS-LC sul sito del Cryptographic Module
Elastic Load Balancing fornisce le seguenti politiche di FIPS sicurezza per Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
(Consigliato) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Policy FS supportate
Elastic Load Balancing fornisce le seguenti politiche di sicurezza supportate da FS (Forward Secrecy) per Network Load Balancer:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10
-
ELBSecurityPolicy-FS-1-2-Res-2019-08
-
ELBSecurityPolicy-FS-1-2-2019-08
-
ELBSecurityPolicy-FS-1-1-2019-08
-
ELBSecurityPolicy-FS-2018-06
TLSpolitiche di sicurezza 1.0 - 1.2
Elastic Load Balancing fornisce le seguenti politiche di sicurezza TLS 1.0 - 1.2 per Network Load Balancer:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-0-2015-04
-
ELBSecurityPolicy-2015-05
(identico a)ELBSecurityPolicy-2016-08
TLSprotocolli e cifrari
ALPNpolitiche
Application-Layer Protocol Negotiation (ALPN) è un'TLSestensione che viene inviata nei messaggi di saluto iniziali TLS di handshake. ALPNconsente al livello dell'applicazione di negoziare quali protocolli devono essere utilizzati su una connessione sicura, ad esempio /1 e /2. HTTP HTTP
Quando il client avvia una ALPN connessione, il load balancer confronta l'elenco delle preferenze del client ALPN con la sua politica. ALPN Se il client supporta un protocollo previsto dalla ALPN policy, il load balancer stabilisce la connessione in base all'elenco di preferenze della politica. ALPN In caso contrario, il load balancer non lo utilizza. ALPN
Politiche supportate ALPN
Le ALPN politiche supportate sono le seguenti:
HTTP1Only
-
Negozia solo HTTP /1. *. L'elenco delle ALPN preferenze è http/1.1, http/1.0.
HTTP2Only
-
HTTPNegozia solo /2. L'elenco delle ALPN preferenze è h2.
HTTP2Optional
-
Preferisce HTTP /1. * a HTTP /2 (che può essere utile per il test HTTP /2). L'elenco delle ALPN preferenze è http/1.1, http/1.0, h2.
HTTP2Preferred
-
Preferisce /2 HTTP a /1. *. HTTP L'elenco delle ALPN preferenze è h2, http/1.1, http/1.0.
None
-
ALPNNon negoziate. Questa è l'impostazione predefinita.
Abilita connessioni ALPN
È possibile abilitare ALPN le connessioni quando si crea o si modifica un TLS listener. Per ulteriori informazioni, consulta Aggiunta di un listener e Aggiornare la ALPN politica.