Konfigurasikan Versi TLS untuk Memastikan Keamanan Komunikasi - Object Storage Service

Komunikasi antara aplikasi klien dan OSS dienkripsi menggunakan Transport Layer Security (TLS). TLS adalah protokol enkripsi standar yang memastikan privasi dan integritas data selama komunikasi antara klien dan server melalui Internet. Anda dapat mengatur versi TLS yang diperlukan dan paket sandi pada server OSS. Setelah konfigurasi selesai, klien hanya dapat berkomunikasi dengan OSS menggunakan versi TLS dan paket sandi yang ditentukan. Hal ini membantu Anda memenuhi persyaratan keamanan untuk tautan komunikasi.

Prasyarat

Pengguna Resource Access Management (RAM) harus memiliki izin berikut: oss:PutTLSVersion dan oss:GetTLSVersion. Untuk informasi lebih lanjut, lihat Lampirkan Kebijakan Kustom ke Pengguna RAM.

Versi TLS

TLS mendukung empat versi: 1.0, 1.1, 1.2, dan 1.3. Tabel berikut menjelaskan skenario dan browser utama yang didukung untuk setiap versi.

Protokol	Deskripsi	Skenario	Browser utama yang didukung
TLS 1.0	Algoritma enkripsi utama yang digunakan adalah RSA, DES, dan 3DES. TLS 1.0 memiliki kerentanan keamanan dan rentan terhadap serangan seperti BEAST dan POODLE. Ini tidak lagi memberikan perlindungan yang memadai untuk koneksi jaringan modern dan tidak memenuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).	Karena kerentanan keamanan, TLS 1.0 tidak lagi banyak direkomendasikan. Dalam kebanyakan kasus, tingkatkan ke versi TLS yang lebih aman.	IE6+ Chrome 1+ Firefox 2+
TLS 1.1	Versi ini meningkatkan keamanan, memperbaiki beberapa kerentanan yang diketahui, dan menambahkan dukungan untuk algoritma enkripsi yang lebih kuat, seperti AES, RSA, dan SHA-256.	Cocok untuk lingkungan yang memerlukan tingkat keamanan relatif tinggi tetapi tidak memerlukan fitur TLS terbaru.	IE11+ Chrome 22+ Firefox 24+ Safri 7+
TLS 1.2	Versi ini lebih meningkatkan keamanan dan menambahkan fitur baru, seperti Indikasi Nama Server (SNI) dan protokol jabat tangan yang diperluas. Algoritma enkripsi yang didukung termasuk AES-GCM, AES-CBC, dan ECDHE.	Cocok untuk sebagian besar skenario komunikasi aman umum, termasuk aplikasi web, situs e-commerce, email, dan jaringan pribadi virtual (VPN).	IE11+ Chrome 30+ Firefox 27+ Safri 7+
TLS 1.3	Versi ini memberikan peningkatan besar dalam hal keamanan, performa, dan perlindungan privasi. Ini menghapus beberapa algoritma enkripsi yang tidak aman, menambahkan algoritma pertukaran kunci dan enkripsi yang lebih kuat, mengurangi latensi jabat tangan, dan menyediakan mekanisme autentikasi dan forward secrecy yang lebih baik.	Cocok untuk skenario yang memerlukan keamanan tinggi, performa yang lebih baik, dan perlindungan privasi, seperti lembaga keuangan, perusahaan internet besar, dan lembaga pemerintah.	Chrome 70+ Firefox 63+

Catatan Penggunaan

Jangan atur versi TLS yang diizinkan untuk bucket hanya ke TLS 1.0 atau TLS 1.1. Anda harus menyertakan setidaknya versi mainstream TLS 1.2.
Jika Anda tidak mengaktifkan pengaturan versi TLS, versi 1.0, 1.1, dan 1.2 didukung secara default, tetapi versi 1.3 tidak. Setelah Anda mengaktifkan pengaturan versi TLS, Anda dapat memilih versi 1.0, 1.1, 1.2, dan 1.3. Saat Anda mengatur versi TLS untuk pertama kali di Konsol OSS, TLS 1.2 dipilih secara default karena merupakan versi mainstream. Jika Anda tidak memilih TLS 1.2, beberapa klien mainstream tidak dapat mengakses OSS.
Menurunkan versi TLS, seperti dari TLS 1.2 ke TLS 1.1 atau TLS 1.0, atau menonaktifkan pengaturan versi TLS dapat menyebabkan masalah keamanan dan kepatuhan. Lanjutkan dengan hati-hati.
Sebelum menonaktifkan versi TLS, pastikan tidak ada klien yang bergantung sepenuhnya pada versi tersebut.

Metode

Gunakan Konsol OSS

Masuk ke Konsol OSS.
Di panel navigasi di sebelah kiri, klik Buckets, lalu klik nama bucket target.
Di panel navigasi di sebelah kiri, pilih Content Security > TLS Version Settings.

Di halaman TLS Version Settings, atur item konfigurasi berikut.

Item Konfigurasi	Deskripsi
TLS Version Management	Aktifkan pengaturan versi TLS.
TLS Cipher Suite	Paket sandi mendefinisikan kombinasi spesifik algoritma enkripsi yang digunakan untuk enkripsi data, verifikasi identitas, dan perlindungan integritas data. Setiap paket sandi biasanya mencakup algoritma pertukaran kunci (seperti RSA atau ECDHE), algoritma autentikasi (seperti ECDSA), algoritma enkripsi simetris (seperti AES), dan algoritma kode autentikasi pesan (seperti SHA256). OSS mendukung tiga jenis paket sandi berikut: Semua Paket Sandi (Default): Keamanan lebih rendah, kompatibilitas lebih tinggi. Paket Sandi Kuat: Keamanan lebih tinggi, kompatibilitas lebih rendah. Daftar Paket Sandi Kuat ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-CCM8 ECDHE-ECDSA-AES128-CCM ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-CCM8 ECDHE-ECDSA-AES256-CCM ECDHE-ECDSA-ARIA256-GCM-SHA384 ECDHE-ARIA256-GCM-SHA384 ECDHE-ECDSA-ARIA128-GCM-SHA256 ECDHE-ARIA128-GCM-SHA256 TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 TLS_CHACHA20_POLY1305_SHA256 Paket Sandi Kustom: Sangat dapat disesuaikan. Anda dapat memilih kombinasi algoritma yang paling sesuai berdasarkan kebijakan keamanan Anda. Misalnya, Anda dapat memilih algoritma enkripsi yang lebih kuat (seperti AES-256 bukan AES-128) atau mekanisme pertukaran kunci yang lebih aman (seperti ECDHE bukan RSA). Anda dapat mengatur paket sandi kustom hanya ketika versi TLS adalah 1.2 atau 1.3. Paket sandi kustom untuk TLS 1.2 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-CCM8 ECDHE-ECDSA-AES128-CCM ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-CCM8 ECDHE-ECDSA-AES256-CCM ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-ARIA256-GCM-SHA384 ECDHE-ARIA256-GCM-SHA384 ECDHE-ECDSA-ARIA128-GCM-SHA256 ECDHE-ARIA128-GCM-SHA256 ECDHE-ECDSA-CAMELLIA256-SHA384 ECDHE-RSA-CAMELLIA256-SHA384 ECDHE-ECDSA-CAMELLIA128-SHA256 ECDHE-RSA-CAMELLIA128-SHA256 AES256-GCM-SHA384 AES256-CCM8 AES256-CCM ARIA256-GCM-SHA384 AES128-GCM-SHA256 AES128-CCM8 AES128-CCM ARIA128-GCM-SHA256 Paket sandi kustom untuk TLS 1.3 TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 TLS_CHACHA20_POLY1305_SHA256
Allowed TLS Version	Atur versi TLS. Untuk informasi tentang skenario dan deskripsi versi TLS, lihat Versi TLS.

Klik Save. Di kotak dialog yang muncul, klik OK.
Konfigurasi akan berlaku dalam waktu 30 menit.

Gunakan Antarmuka Baris Perintah ossutil

Anda dapat menggunakan antarmuka baris perintah ossutil untuk mengaktifkan atau menonaktifkan pengaturan versi TLS. Untuk informasi tentang cara menginstal ossutil, lihat Instal ossutil.

Contoh berikut menunjukkan cara mengaktifkan pengaturan versi TLS untuk bucket bernama examplebucket dan mengatur versi TLS yang diizinkan menjadi TLSv1.2 dan TLSv1.3.
```
ossutil api put-bucket-https-config --bucket examplebucket --https-configuration "{\"TLS\":{\"Enable\":\"true\",\"TLSVersion\":[\"TLSv1.2\",\"TLSv1.3\"]}}"
```
Untuk informasi lebih lanjut tentang perintah ini, lihat put-bucket-https-config.
Contoh berikut menunjukkan cara menanyakan pengaturan versi TLS dari bucket bernama examplebucket.
```
ossutil api get-bucket-https-config --bucket examplebucket
```
Untuk informasi lebih lanjut tentang perintah ini, lihat get-bucket-https-config.

API Terkait

Operasi yang dijelaskan dalam topik ini diimplementasikan dengan memanggil API. Jika aplikasi Anda memerlukan tingkat penyesuaian yang tinggi, Anda dapat langsung mengirim permintaan REST API. Untuk mengirim permintaan REST API, Anda harus menulis kode secara manual untuk menghitung tanda tangan. Untuk informasi lebih lanjut, lihat PutBucketHttpsConfig dan GetBucketHttpsConfig.

FAQ

Bagaimana cara menentukan versi TLS saat ini yang sedang digunakan?

Jika klien tidak menentukan versi TLS, Anda dapat menjalankan perintah berikut untuk menentukan versi TLS yang dinegosiasikan antara klien dan server.

openssl s_client -connect <Bucket>.<Endpoint>:443 -servername <Bucket>.<Endpoint>

Berikut ini menjelaskan parameter dalam contoh kode:

Parameter	Deskripsi
Bucket	Nama bucket OSS.
Endpoint	Titik akhir publik, titik akhir internal, atau nama domain kustom.

Anda dapat menemukan versi TLS dalam hasil yang dikembalikan.

Bagaimana cara memeriksa apakah versi TLS telah diatur dengan sukses?

Jika Anda mengonfigurasi bucket Anda untuk mengizinkan akses hanya menggunakan TLS 1.2, konfigurasi yang berhasil ditunjukkan dalam tiga skenario berikut:

Klien yang menentukan TLS 1.2 dapat berhasil mengakses server.
```
openssl s_client -connect <Bucket>.<Endpoint>:443 -servername <Bucket>.<Endpoint> -tls1_2
```
Parameter dalam contoh kode adalah sebagai berikut:
Parameter
Deskripsi
Bucket
Nama bucket OSS.
Endpoint
Titik akhir publik, titik akhir internal, atau nama domain kustom.
Hasil berikut dikembalikan:
Klien yang mendukung TLS 1.2 tetapi tidak menentukan versi dapat berhasil mengakses server.
```
openssl s_client -connect <Bucket>.<Endpoint>:443 -servername <Bucket>.<Endpoint>
```
Hasil berikut dikembalikan:
Klien yang menentukan versi selain TLS 1.2, seperti TLS 1.1, tidak dapat mengakses server.
```
openssl s_client -connect <Bucket>.<Endpoint>:443 -servername <Bucket>.<Endpoint> -tls1_1
```
Hasil berikut dikembalikan: