Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Listener TLS per il Network Load Balancer
Per utilizzare un listener TLS, occorre distribuire almeno un certificato server sul sistema di bilanciamento del carico. Il sistema di bilanciamento del carico utilizza il certificato del server per terminare la connessione front-end e quindi decrittografare le richieste provenienti dai client prima di inoltrarle ai target. Tieni presente che per trasmettere il traffico crittografato alle destinazioni senza decrittografia da parte del sistema di bilanciamento del carico, devi creare un ascoltatore TCP sulla porta 443 anziché un ascoltatore TLS. Il sistema di bilanciamento del carico trasmette la richiesta alla destinazione così com'è, senza decrittografarla.
Elastic Load Balancing utilizza una configurazione di negoziazione TLS, nota come policy di sicurezza, per negoziare le connessioni TLS tra un client e il sistema di bilanciamento del carico. Una policy di sicurezza è una combinazione di protocolli e codici. Il protocollo stabilisce una connessione sicura tra un client e un server e garantisce che tutti i dati trasferiti tra il client e il sistema di bilanciamento del carico siano privati. Un codice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. I protocolli utilizzano diversi codici per crittografare i dati su Internet. Durante il processo di negoziazione della connessione, il client e il sistema di bilanciamento del carico forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. La prima crittografia nell'elenco del server che corrisponde a una qualsiasi delle crittografie del client viene selezionata per la connessione sicura.
I Network Load Balancer non supportano la rinegoziazione TLS o l'autenticazione TLS reciproca (mTLS). Per il supporto dell'autenticazione TLS reciproca, crea un ascoltatore TCP anziché un ascoltatore TLS. Il sistema di bilanciamento del carico trasmette la richiesta così com'è, in modo da poter implementare l'autenticazione TLS reciproca sulla destinazione.
Per creare un listener TLS, consulta Aggiunta di un listener. Per le demo correlate, consulta Supporto TLS su Network Load Balancer
Certificati server
Il sistema di bilanciamento del carico utilizza un certificato X.509 (certificato server). I certificati sono un modulo digitale di identificazione emesso da un'autorità di certificazione (CA). Un certificato contiene informazioni di identificazione, un periodo di validità, una chiave pubblica, un numero di serie e la firma digitale dell'emittente.
Quando si crea un certificato da utilizzare con il load balancer, occorre specificare un nome di dominio. Il nome di dominio sul certificato deve corrispondere al record del nome di dominio personalizzato in modo che la connessione TLS possa essere verificata. Se i due nomi non corrispondono, il traffico non viene crittografato.
È necessario specificare un nome di dominio completo (FQDN) per il certificato, ad esempio www.example.com
o un nome di dominio apex, ad esempio example.com
. Per proteggere diversi nomi di siti nello stesso dominio, è inoltre possibile utilizzare un asterisco (*) come carattere jolly. Quando si fa richiesta di un certificato jolly, l'asterisco (*) deve essere nella posizione più a sinistra nel nome di dominio e può proteggere solo un livello di sottodominio. Ad esempio, *.example.com
protegge corp.example.com
e images.example.com
, ma non può proteggere test.login.example.com
. Si noti inoltre come *.example.com
protegga solo i sottodomini di example.com
e non il dominio essenziale o apex (example.com
). Il nome con il carattere jolly appare nel campo Oggetto e nell'estensione Nome oggetto alternativo del certificato. Per ulteriori informazioni sui certificati pubblici, consulta Richiesta di un certificato pubblico nella Guida per l'utente di AWS Certificate Manager.
Ti consigliamo di utilizzare AWS Certificate Manager (ACM)
Altrimenti, puoi utilizzare strumenti TLS per creare una richiesta di firma del certificato (CSR), quindi ottenere la CSR firmata da una CA per produrre un certificato e infine importare il certificato in ACM o caricarlo in AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta Importazione di certificati nella Guida per l'utente di AWS Certificate Manager o Utilizzo dei certificati server nella Guida per l'utente di IAM.
Indice
Algoritmi chiave supportati
RSA a 1024 bit
RSA a 2048 bit
RSA a 3072 bit
ECDSA a 256 bit
ECDSA a 384 bit
ECDSA a 521 bit
Certificato predefinito
È necessario specificare un certificato predefinito al momento della creazione di un listener TLS. Questo certificato è noto come certificato predefinito. Puoi sostituire il certificato predefinito dopo aver creato il listener TLS. Per ulteriori informazioni, consulta Sostituzione del certificato predefinito.
Se definisci certificati aggiuntivi in un elenco di certificati, il certificato predefinito viene utilizzato solo se un client si collega senza utilizzare il protocollo Server Name Indication (SNI) per specificare un nome host o se non sono presenti certificati corrispondenti nel relativo elenco.
Se non specifichi certificati aggiuntivi, ma devi ospitare diverse applicazioni sicure attraverso un unico sistema di bilanciamento del carico, puoi usare un certificato jolly o aggiungere un Subject Alternative Name (SAN) per ogni dominio aggiuntivo al tuo certificato.
Elenco dei certificati
Una volta creato. il listener TLS include un certificato predefinito e un elenco di certificati vuoto. Facoltativamente, è possibile aggiungere certificati all’elenco certificati per il listener. In questo modo un sistema di bilanciamento del carico può supportare più domini sulla stessa porta e fornire un certificato diverso per ogni dominio. Per ulteriori informazioni, consulta Aggiunta di certificati all’elenco dei certificati.
Il sistema di bilanciamento del carico supporta inoltre un algoritmo intelligente di selezione dei certificati con SNI. Se il nome host fornito da un client corrisponde a un singolo certificato nell'elenco dei certificati, il sistema di bilanciamento del carico seleziona tale certificato. Se un nome host fornito da un client corrisponde a più certificati nell'elenco dei certificati, il sistema di bilanciamento del carico seleziona il miglior certificato che il client è in grado di supportare. La selezione del certificato si basa sui seguenti criteri nell'ordine seguente:
-
Algoritmo hash (preferire SHA su MD5)
-
Lunghezza della chiave (preferire la più lunga)
-
Periodo di validità
Le voci nei log di accesso al sistema di bilanciamento del carico indicano il nome host specificato dal client e il certificato presentato al client. Per ulteriori informazioni, consulta Voci dei log di accesso.
Rinnovo del certificato
Ogni certificato include un periodo di validità. Devi assicurarti di rinnovare o sostituire il certificato per il sistema di bilanciamento del carico prima della fine del suo periodo di validità. Sono inclusi il certificato predefinito e i certificati presenti nel relativo elenco. Nota che il rinnovo o la sostituzione di un certificato non influenza le normali richieste che erano state ricevute da un nodo del sistema di bilanciamento del carico e che sono in attesa di essere instradate a una destinazione integra. Dopo il rinnovo di un certificato, le nuove richieste utilizzano il certificato rinnovato. Dopo la sostituzione di un certificato, le nuove richieste utilizzano il nuovo certificato.
È possibile gestire il rinnovo e la sostituzione del certificato come segue:
-
I certificati forniti da AWS Certificate Manager e implementati sul load balancer possono essere rinnovati automaticamente. ACM cerca di rinnovare i certificati prima della scadenza. Per ulteriori informazioni, consulta Rinnovo gestito nella Guida per l'utente di AWS Certificate Manager.
-
Se hai importato un certificato in ACM, la data di scadenza del certificato deve essere monitorata per rinnovarlo prima che scada. Per ulteriori informazioni, consulta Importazione di certificati nella Guida per l'utente di AWS Certificate Manager.
-
Se si importa un certificato in IAM, è necessario creare un nuovo certificato, importare il nuovo certificato in ACM o IAM, aggiungere il nuovo certificato al sistema di bilanciamento del carico e rimuovere il certificato scaduto dal sistema di bilanciamento del carico.
Policy di sicurezza
Quando crei un listener TLS, devi selezionare una policy di sicurezza. Puoi aggiornare la policy di sicurezza in base alle esigenze. Per ulteriori informazioni, consulta Aggiornamento della policy di sicurezza.
Considerazioni:
-
La
ELBSecurityPolicy-TLS13-1-2-2021-06
politica è la politica di sicurezza predefinita per i listener TLS creata utilizzando. AWS Management Console-
Consigliamo la politica
ELBSecurityPolicy-TLS13-1-2-2021-06
di sicurezza, che include TLS 1.3 ed è retrocompatibile con TLS 1.2.
-
-
La
ELBSecurityPolicy-2016-08
politica è la politica di sicurezza predefinita per i listener TLS creata utilizzando. AWS CLI -
È possibile scegliere la politica di sicurezza utilizzata per le connessioni front-end, ma non per le connessioni backend.
-
Per le connessioni back-end, se l'ascoltatore TLS utilizza una policy di sicurezza TLS 1.3, viene utilizzata la policy di sicurezza
ELBSecurityPolicy-TLS13-1-0-2021-06
. In caso contrario, la policy di sicurezzaELBSecurityPolicy-2016-08
viene utilizzata per le connessioni back-end.
-
-
Per soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di determinate versioni del protocollo TLS o per supportare client legacy che richiedono cifrari obsoleti, puoi utilizzare una delle politiche di sicurezza.
ELBSecurityPolicy-TLS-
Puoi abilitare i log di accesso per informazioni sulle richieste TLS inviate al tuo Network Load Balancer, analizzare i modelli di traffico TLS, gestire gli aggiornamenti delle politiche di sicurezza e risolvere i problemi. Abilita la registrazione degli accessi per il tuo load balancer ed esamina le voci del registro di accesso corrispondenti. Per ulteriori informazioni, consulta Log di accesso e Query di esempio di Network Load Balancer. -
Puoi limitare le policy di sicurezza disponibili per gli utenti in tutto il tuo Account AWS e AWS Organizations utilizzando le chiavi di condizione Elastic Load Balancing rispettivamente nelle tue policy IAM e service control (SCP). Per ulteriori informazioni, consulta le politiche di controllo dei servizi (SCP) nella Guida per l'utente AWS Organizations
Policy di sicurezza TLS 1.3
Nota
Le politiche di sicurezza TLS 1.3 per Network Load Balancer sono supportate solo nella nuova esperienza EC2. Quando si utilizza la vecchia esperienza EC2, le politiche di sicurezza TLS 1.3 non sono disponibili per la selezione.
Elastic Load Balancing fornisce le seguenti politiche di sicurezza TLS 1.3 per Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
(Consigliato) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
-
ELBSecurityPolicy-TLS13-1-1-2021-06
-
ELBSecurityPolicy-TLS13-1-0-2021-06
-
ELBSecurityPolicy-TLS13-1-3-2021-06
Politiche di sicurezza FIPS
Il Federal Information Processing Standard (FIPS) è uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Per ulteriori informazioni, consulta Federal Information Processing Standard (FIPS) 140
Tutte le politiche FIPS sfruttano il modulo crittografico convalidato FIPS AWS-LC. Per saperne di più, consulta la pagina del modulo crittografico AWS-LC sul sito del NIST Cryptographic Module
Elastic Load Balancing fornisce le seguenti politiche di sicurezza FIPS per Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
(Consigliato) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Policy FS supportate
Elastic Load Balancing fornisce le seguenti politiche di sicurezza supportate da FS (Forward Secrecy) per Network Load Balancer:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10
-
ELBSecurityPolicy-FS-1-2-Res-2019-08
-
ELBSecurityPolicy-FS-1-2-2019-08
-
ELBSecurityPolicy-FS-1-1-2019-08
-
ELBSecurityPolicy-FS-2018-06
Politiche di sicurezza TLS 1.0 - 1.2
Elastic Load Balancing fornisce le seguenti politiche di sicurezza TLS 1.0 - 1.2 per Network Load Balancer:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-0-2015-04
-
ELBSecurityPolicy-2015-05
(identico a)ELBSecurityPolicy-2016-08
Protocolli e cifrari TLS
Policy ALPN
Application-Layer Protocol Negotiation (ALPN) è un'estensione TLS che viene inviata nei messaggi Hello di handshake TLS iniziali. ALPN consente al livello dell'applicazione di negoziare quali protocolli devono essere utilizzati su una connessione sicura, ad esempio HTTP/1 e HTTP/2.
Quando il client avvia una connessione ALPN, il sistema di bilanciamento del carico confronta l'elenco delle preferenze ALPN client con la relativa policy ALPN. Se il client supporta un protocollo dalla policy ALPN, il sistema di bilanciamento del carico stabilisce la connessione in base all'elenco delle preferenze della policy ALPN. In caso contrario, il sistema di bilanciamento del carico non utilizza ALPN.
Policy ALPN supportate
Di seguito sono riportati le policy ALPN supportate:
HTTP1Only
-
Negoziare solo HTTP/1.*. L'elenco delle preferenze ALPN è http/1.1, http/1.0.
HTTP2Only
-
Negoziare solo HTTP/2. L'elenco delle preferenze ALPN è h2.
HTTP2Optional
-
Preferire HTTP/1.* rispetto a HTTP/2 (che può essere utile per i test HTTP/2). L'elenco delle preferenze ALPN è http/1.1, http/1.0, h2.
HTTP2Preferred
-
Preferire HTTP/2 rispetto a HTTP/1.*. L'elenco delle preferenze ALPN è h2, http/1.1, http/1.0.
None
-
Non negoziare ALPN. Questa è l'impostazione predefinita.
Abilitare connessioni ALPN
È possibile abilitare le connessioni ALPN quando si crea o si modifica un listener TLS. Per ulteriori informazioni, consultare Aggiunta di un listener e Aggiornamento della policy ALPN.