As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Listeners TLS para o Network Load Balancer
Para usar um listener TLS, é necessário implantar pelo menos um certificado de servidor no load balancer. O load balancer usa um certificado de servidor para encerrar a conexão front-end e para descriptografar solicitações dos clientes antes de enviá-las aos destinos. Observe que, se você precisar transmitir tráfego criptografado para os destinos sem que o balanceador de carga o descriptografe, crie um receptor TCP na porta 443 em vez de criar um receptor TLS. O balanceador de carga transmite a solicitação para o destino no estado em que ela se encontra, sem descriptografá-la.
O Elastic Load Balancing usa uma configuração de negociação TLS, conhecida como política de segurança, para negociar conexões TLS entre um cliente e o balanceador de carga. Uma política de segurança é uma combinação de cifras e protocolos. O protocolo estabelece uma conexão segura entre um cliente e um servidor, além de garantir que todos os dados passados entre o cliente e o load balancer sejam privados. A cifra é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. Os protocolos usam várias cifras para criptografar dados pela Internet. Durante o processo de negociação de conexão, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. A primeira cifra na lista do servidor que corresponder a qualquer uma das cifras do cliente será selecionada para a conexão segura.
Os Network Load Balancers não são compatíveis com renegociação ou autenticação TLS mútua (mTLS). Para compatibilidade com mTLS, crie um receptor TCP em vez de um receptor TLS. O balanceador de carga transmite a solicitação no estado em que ela se encontra para que você possa implementar a mTLS no destino.
Para criar um listener TLS, consulte Adicionar um listener. Para demonstrações relacionadas, consulte Suporte TLS no Network Load Balancer
Certificados de servidor
O load balancer requer certificados X.509 (certificado de servidor). Os certificados são uma forma digital de identificação emitida por uma autoridade certificadora (CA). Um certificado contém informações de identificação, período de validade, chave pública, número de série e a assinatura digital do emissor.
Quando você cria um certificado para uso com seu load balancer, é necessário especificar um nome de domínio. O nome de domínio no certificado deve corresponder ao registro de nome de domínio personalizado para que possamos verificar a conexão TLS. Se eles não coincidirem, o tráfego não será criptografado.
Você precisa especificar um nome de domínio totalmente qualificado (FQDN) para seu certificado, como www.example.com
ou um nome de domínio de apex como example.com
. Você também pode usar um asterisco (*) como um caractere curinga para proteger vários nomes de site no mesmo domínio. Quando você solicita um certificado-curinga, o asterisco (*) deve estar na posição mais à esquerda do nome do domínio e só pode proteger um nível de subdomínio. Por exemplo,*.example.com
protege corp.example.com
e images.example.com
, mas não pode proteger test.login.example.com
. Note também que *.example.com
protege apenas os subdomínios de example.com
, mas não protege o domínio vazio ou apex (example.com
). O nome-curinga será exibido no campo Assunto e na extensão Nome alternativo do assunto do certificado. Para obter mais informações sobre certificados públicos, consulte Solicitação de um certificado público no Manual do usuário do AWS Certificate Manager .
Recomendamos que você crie certificados para seus balanceadores de carga usando o AWS Certificate Manager (ACM)
Como alternativa, você pode usar as ferramentas TLS para criar uma solicitação de assinatura de certificado (CSR) e, em seguida, obter a CSR assinada por uma CA para produzir um certificado e, em seguida, importar o certificado para o ACM ou fazer o upload do certificado no (IAM). AWS Identity and Access Management Para obter mais informações, consulte Importar certificados no Guia do usuário do AWS Certificate Manager ou Trabalhar com certificados de servidor no Guia do usuário do IAM.
Conteúdo
Algoritmos principais suportados
RSA de 1024 bits
RSA de 2048 bits
RSA 3072 bits
ECDSA de 256 bits
ECDSA de 384 bits
ECDSA de 521 bits
Certificado padrão
Quando você cria um listener TLS, é necessário especificar exatamente um certificado. Esse certificado é conhecido como o certificado padrão. É possível substituir o certificado padrão depois de criar o listener TLS. Para ter mais informações, consulte Substituir o certificado padrão.
Se você especificar certificados adicionais em uma lista de certificados, o certificado padrão será usado somente se um cliente se conectar sem usar o protocolo Server Name Indication (SNI) para especificar um nome de host ou se não houver certificados correspondentes na lista de certificados.
Se você não especificar certificados adicionais, mas precisar hospedar vários aplicativos seguros por meio de um único load balancer, poderá usar um certificado curinga ou adicionar um Subject Alternative Name (SAN) para cada domínio adicional ao seu certificado.
Lista de certificados
Após criar um listener TLS, ele terá um certificado padrão e uma lista de certificados vazia. Você pode adicionar certificados à lista de certificados para o listener. O uso de uma lista de certificados permite que um load balancer ofereça suporte a vários domínios na mesma porta e forneça um certificado diferente para cada domínio. Para ter mais informações, consulte Adicionar certificados à lista de certificados.
O load balancer usa um algoritmo inteligente de seleção de certificado com suporte para SNI. Se o nome de host fornecido por um cliente corresponder a um único certificado na lista, o load balancer selecionará esse certificado. Se um nome de host fornecido por um cliente corresponder a vários certificados na lista, o load balancer selecionará o melhor certificado que o cliente puder comportar. A seleção do certificado se baseia nos critérios a seguir, na seguinte ordem:
-
Algoritmo hashing (prefira SHA em relação a MD5)
-
Comprimento da chave (prefira o maior)
-
Período de validade
As entradas no log de acesso do load balancer indicam o hostname especificado pelo cliente e o certificado apresentado ao cliente. Para ter mais informações, consulte Entradas do log de acesso.
Renovação de certificado
Cada certificado vem com um período de validade. Você deve garantir que renovou ou substituiu os certificados do load balancer antes do fim do período de validade. Isso inclui o certificado padrão e os certificados em uma lista de certificados. Renovar ou substituir um certificado não afeta as solicitações em andamento recebidas por um nó do load balancer e são pendentes de roteamento para um destino íntegro. Depois de um certificado ser renovado, as novas solicitações usarão o certificado renovado. Depois de o certificado ser substituído, as novas solicitações usarão o novo certificado.
Você pode gerenciar a renovação e a substituição do certificado da seguinte forma:
-
Os certificados fornecidos AWS Certificate Manager e implantados em seu balanceador de carga podem ser renovados automaticamente. O ACM tenta renovar os certificados antes que eles expirem. Para obter mais informações, consulte Renovação gerenciada no Guia do usuário do AWS Certificate Manager .
-
Se você tiver importado um certificado no ACM, deverá monitorar a data de validade do certificado e renová-lo antes que expire. Para obter mais informações, consulte Importar certificados no Manual do usuário do AWS Certificate Manager .
-
Se você tiver importado um certificado para o IAM, precisará criar um novo certificado, importá-lo para o ACM ou IAM, adicionar o novo certificado ao balanceador de carga e remover o certificado expirado do seu balanceador de carga.
Políticas de segurança
Ao criar um listener TLS, é necessário selecionar uma política de segurança. É possível atualizar a política de segurança conforme necessário. Para ter mais informações, consulte Atualizar a política de segurança.
Considerações:
-
A
ELBSecurityPolicy-TLS13-1-2-2021-06
política é a política de segurança padrão para ouvintes TLS criados usando o. AWS Management Console-
Recomendamos a política
ELBSecurityPolicy-TLS13-1-2-2021-06
de segurança, que inclui o TLS 1.3 e é compatível com versões anteriores do TLS 1.2.
-
-
A
ELBSecurityPolicy-2016-08
política é a política de segurança padrão para ouvintes TLS criados usando o. AWS CLI -
Você pode escolher a política de segurança usada para conexões front-end, mas não para conexões back-end.
-
Para conexões de back-end, se seu receptor TLS estiver usando uma política de segurança TLS 1.3, a política de segurança
ELBSecurityPolicy-TLS13-1-0-2021-06
será usada. Caso contrário, a política de segurançaELBSecurityPolicy-2016-08
será usada para as conexões de back-end.
-
-
Para atender aos padrões de conformidade e segurança que exigem a desativação de determinadas versões do protocolo TLS ou para oferecer suporte a clientes antigos que exigem cifras obsoletas, você pode usar uma das políticas de segurança.
ELBSecurityPolicy-TLS-
Você pode ativar os registros de acesso para obter informações sobre as solicitações de TLS enviadas ao seu Network Load Balancer, analisar padrões de tráfego de TLS, gerenciar atualizações de políticas de segurança e solucionar problemas. Ative o registro de acesso para seu balanceador de carga e examine as entradas correspondentes do registro de acesso. Para obter mais informações, consulte Logs de acesso e Consultas de exemplo do Network Load Balancer. -
Você pode restringir quais políticas de segurança estão disponíveis para os usuários em todo o seu Contas da AWS e AWS Organizations usando as chaves de condição do Elastic Load Balancing em suas políticas de IAM e controle de serviços (SCPs), respectivamente. Para obter mais informações, consulte Políticas de controle de serviços (SCPs) no Guia do AWS Organizations usuário
Políticas de segurança do TLS 1.3
O Elastic Load Balancing fornece as seguintes políticas de segurança TLS 1.3 para balanceadores de carga de rede:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
(Recomendado) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
-
ELBSecurityPolicy-TLS13-1-1-2021-06
-
ELBSecurityPolicy-TLS13-1-0-2021-06
-
ELBSecurityPolicy-TLS13-1-3-2021-06
Políticas de segurança FIPS
O Federal Information Processing Standard (FIPS) é um padrão do governo dos EUA e do Canadá que especifica os requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Para saber mais, consulte Federal Information Processing Standard (FIPS) 140
Todas as políticas de FIPS utilizam o módulo criptográfico validado pelo AWS-LC FIPS. Para saber mais, consulte a página do Módulo Criptográfico AWS-LC no site do Programa de Validação do Módulo Criptográfico
O Elastic Load Balancing fornece as seguintes políticas de segurança FIPS para o Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
(Recomendado) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Políticas compatíveis com FS
O Elastic Load Balancing fornece as seguintes políticas de segurança suportadas por FS (Forward Secrecy) para balanceadores de carga de rede:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10
-
ELBSecurityPolicy-FS-1-2-Res-2019-08
-
ELBSecurityPolicy-FS-1-2-2019-08
-
ELBSecurityPolicy-FS-1-1-2019-08
-
ELBSecurityPolicy-FS-2018-06
Políticas de segurança TLS 1.0 - 1.2
O Elastic Load Balancing fornece as seguintes políticas de segurança TLS 1.0 a 1.2 para balanceadores de carga de rede:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-0-2015-04
-
ELBSecurityPolicy-2015-05
(idêntico aELBSecurityPolicy-2016-08
)
Protocolos e cifras TLS
Políticas ALPN
A Application-Layer Protocol Negotiation (ALPN) é uma extensão TLS que é enviada nas mensagens Hello iniciais de handshake de TLS. ALPN permite que a camada do aplicativo negocie quais protocolos devem ser usados em uma conexão segura, como HTTP/1 e HTTP/2.
Quando o cliente inicia uma conexão ALPN, o load balancer compara a lista de preferências de ALPN do cliente com a política ALPN. Se o cliente oferecer suporte a um protocolo da política ALPN, o load balancer estabelecerá a conexão com base na lista de preferências da política ALPN. Caso contrário, o load balancer não usará ALPN.
Políticas ALPN com suporte
Veja a seguir as políticas ALPN com suporte:
HTTP1Only
-
Negocie somente HTTP/1.*. A lista de preferências de ALPN é http/1.1, http/1.0.
HTTP2Only
-
Negocie somente HTTP/2. A lista de preferências de ALPN é h2.
HTTP2Optional
-
Prefira HTTP/1.* em vez de HTTP/2 (que pode ser útil para testes HTTP/2). A lista de preferências de ALPN é http/1.1, http/1.0, h2.
HTTP2Preferred
-
Prefira HTTP/2 em vez de HTTP/1.*. A lista de preferências de ALPN é h2, http/1.1, http/1.0.
None
-
Não negocie ALPN. Esse é o padrão.
Habilitar conexões ALPN
É possível habilitar conexões ALPN ao criar ou modificar um listener TLS. Para obter mais informações, consulte Adicionar um listener e Atualizar a política ALPN.