Elastic Load Balancing
クラシックロードバランサー

Classic Load Balancers の SSL ネゴシエーション設定

Elastic Load Balancing は、セキュリティポリシーと呼ばれる Secure Socket Layer (SSL) ネゴシエーション設定を使用して、クライアントとロードバランサー間の SSL 接続をネゴシエートします。セキュリティポリシーは、SSL プロトコル、SSL 暗号、およびサーバーの優先順位オプションを組み合わせたものです。ロードバランサーの SSL 接続を設定する方法については、「Classic Load Balancer のリスナー」を参照してください。

セキュリティポリシー

セキュリティポリシーによって、クライアントとロードバランサー間の SSL ネゴシエーションでサポートされる暗号とプロトコルが決まります。クラシックロードバランサー を設定して、事前に定義されたセキュリティーポリシーまたはカスタムセキュリティポリシーを使用できます。

AWS Certificate Manager (ACM) が提供する証明書には RSA パブリックキーが含まれます。したがって、ACM が提供する証明書を使用するには、セキュリティポリシーで RSA を使用する暗号セットを含める必要があります。含めなかった場合、TLS 接続は失敗します。

事前に定義されたセキュリティポリシー

事前に定義された最新のセキュリティポリシーの名前には、そのポリシーがリリースされた年月に基づくバージョン情報が含まれています。たとえば、事前に定義されたデフォルトのセキュリティポリシーは ELBSecurityPolicy-2016-08 です。事前に定義されたセキュリティポリシーを新たにリリースするたびに、そのポリシーを使用するよう設定を更新できます。

事前に定義されたセキュリティポリシーで有効なプロトコルと暗号については、「事前定義された SSL セキュリティポリシー」を参照してください。

カスタムセキュリティポリシー

必要な暗号とプロトコルを備えたカスタムネゴシエーション設定を作成できます。たとえば、一部のセキュリティコンプライアンス基準 (PCI や SOC など) では、セキュリティの基準を確実に満たすために、特定のプロトコルと暗号のセットを要求する場合があります。このような場合は、それらの基準を満たすカスタムセキュリティポリシーを作成できます。

セキュリティポリシーの作成についての詳細は、「Classic Load Balancer の SSL ネゴシエーション設定の更新」を参照してください。

SSL Protocols

SSL プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) はインターネットなどの安全性の低いネットワーク上での機密データの暗号化に使用される暗号プロトコルです。TLS プロトコルは SSL プロトコルの新しいバージョンです。Elastic Load Balancing のドキュメントでは、SSL プロトコルも TLS プロトコルも SSL プロトコルと呼びます。

SSL Protocols

以下のバージョンの SSL プロトコルがサポートされています。

  • TLS 1.2

  • TLS 1.1

  • TLS 1.0

  • SSL 3.0

廃止された SSL プロトコル

カスタムポリシーで以前に SSL 2.0 プロトコルを有効にした場合、セキュリティポリシーを事前に定義されたデフォルトのセキュリティポリシーに更新することをお勧めします。

サーバーの優先順位

Elastic Load Balancing では、クライアントとロードバランサー間の接続をネゴシエートするために、サーバーの優先順位オプションをサポートしています。SSL 接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、クライアントのリストで最初にロードバランサーの暗号と一致した暗号が SSL 接続用に選択されます。サーバーの優先順位をサポートするようにロードバランサーが設定されていると、ロードバランサーはクライアントの暗号リストに含まれている暗号と最初に一致する暗号を、ロードバランサーのリストから選択します。このようにして、SSL 接続に使用される暗号がロードバランサーによって決定されます。サーバーの優先順位を有効にしない場合は、クライアントで設定された暗号の順序がクライアントとロードバランサー間の接続のネゴシエーションに使用されます。

SSL Ciphers

SSL 暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。SSL プロトコルは、複数の SSL 暗号を使用し、インターネットを介してデータを暗号化します。

AWS Certificate Manager (ACM) が提供する証明書には RSA パブリックキーが含まれます。したがって、ACM が提供する証明書を使用するには、セキュリティポリシーで RSA を使用する暗号セットを含める必要があります。含めなかった場合、TLS 接続は失敗します。

Elastic Load Balancing は、クラシックロードバランサー で使用する次の暗号をサポートしています。これらの暗号のサブセットは、事前に定義された SSL ポリシーによって使用されます。これらのすべての暗号は、カスタムポリシーで使用できます。デフォルトのセキュリティポリシー (アスタリスクがあるもの) に含まれている暗号のみを使用することをお勧めします。他の多くの暗号は安全ではなく、お客様の責任にてご使用ください。

暗号

  • ECDHE-ECDSA-AES128- GCM-SHA256 *

  • ECDHE-RSA-AES128- GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384 *

  • ECDHE-RSA-AES256- GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* これらは、デフォルトのセキュリティポリシーに含まれる推奨の暗号です。