Saat mengonfigurasi pendengar HTTPS untuk Application Load Balancer (ALB), kebijakan keamanan TLS menentukan versi TLS dan paket sandi yang didukung. Kebijakan ini mengatur negosiasi TLS antara ALB dan klien. ALB menyediakan beberapa kebijakan sistem default, serta opsi untuk membuat kebijakan kustom sesuai kebutuhan spesifik.
Cara kerjanya
Kebijakan keamanan TLS dikonfigurasi pada ALB untuk menentukan versi TLS dan paket sandi yang digunakan selama negosiasi TLS. Selama handshake, klien mengirimkan daftar versi protokol dan paket sandi yang didukung dalam pesan Client Hello. ALB menggunakan kebijakan untuk memilih kombinasi versi protokol dan paket sandi yang kompatibel dengan kedua belah pihak, lalu mengirimkan pilihan tersebut dalam tanggapan Server Hello. Langkah-langkah berikutnya, seperti pertukaran kunci dan pembuatan kunci sesi, didasarkan pada pilihan ini.
Kebijakan sistem bawaan
Standar keamanan informasi mungkin mengharuskan penggunaan kebijakan keamanan TLS tertentu untuk ALB Anda. Tabel berikut menunjukkan versi TLS dan paket sandi yang didukung oleh kebijakan sistem default. Anda dapat mengonfigurasinya sesuai kebutuhan. Jika kebijakan default tidak memenuhi persyaratan Anda, buat kebijakan kustom.
Untuk aplikasi yang menghadap Internet tanpa persyaratan kompatibilitas khusus, gunakan Kebijakan tls_cipher_policy_1_2 atau versi yang lebih baru.
Konsol
Buka halaman Kebijakan Keamanan TLS di konsol ALB. Pada tab Default System Policies, Anda dapat melihat detail kebijakan.
API
Gunakan operasi ListSystemSecurityPolicies untuk menanyakan kebijakan sistem default.
Kebijakan kustom
Hanya Instans ALB Edisi Standar dan yang diaktifkan WAF yang mendukung kebijakan kustom. Instans ALB Edisi Dasar tidak mendukungnya.
Buat kebijakan kustom
Konsol
Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah tempat Instans ALB berada.
Klik Create Custom Policy, konfigurasikan parameter berikut, lalu klik Create.
Select Minimum Version: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, pilih TLS 1.2 and later untuk memastikan keamanan.
Enable TLS 1.3: Untuk memastikan keamanan dan efisiensi komunikasi jaringan, aktifkan opsi ini jika layanan Anda kompatibel.
Select Cipher Suites: Paket sandi harus sesuai dengan versi TLS.
Setelah kebijakan dibuat, Anda dapat memilihnya saat mengonfigurasi kebijakan keamanan TLS untuk Pendengar.
API
Gunakan operasi CreateSecurityPolicy untuk membuat kebijakan kustom. Pastikan Wilayah kebijakan kustom sama dengan Wilayah Instans ALB.
Perbarui versi TLS dan paket sandi dari kebijakan kustom
Konsol
Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah kebijakan kustom.
Temukan kebijakan kustom target, klik Edit di kolom Actions, dan perbarui versi TLS dan paket sandi di kotak dialog Edit TLS Security Policy.
Operasi API
Gunakan operasi UpdateSecurityPolicyAttribute untuk memperbarui atribut kebijakan kustom.
Salin kebijakan kustom ke wilayah lain
Konsol
Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah kebijakan kustom.
Temukan kebijakan kustom target, klik Copy To Other Regions di kolom Actions, pilih Wilayah tujuan, lalu klik OK.
API
Gunakan operasi ListSecurityPolicies untuk mendapatkan parameter TLSVersions dan Ciphers dari kebijakan kustom. Gunakan parameter tersebut saat memanggil operasi CreateSecurityPolicy untuk membuat kebijakan kustom di Wilayah tujuan.
Hapus kebijakan kustom
Anda tidak dapat menghapus kebijakan kustom yang sedang digunakan oleh Pendengar. Untuk menghapus kebijakan, ubah terlebih dahulu kebijakan keamanan TLS Pendengar atau hapus Pendengar.
Konsol
Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah kebijakan kustom.
Temukan kebijakan kustom target, klik Delete di kolom Actions, lalu klik OK.
API
Gunakan operasi DeleteSecurityPolicy untuk menghapus kebijakan kustom.
Konfigurasikan kebijakan keamanan TLS untuk pendengar
Konsol
Saat membuat pendengar HTTPS, pilih TLS Security Policy di tab Configure SSL Certificate. Saat secara cepat membuat pendengar HTTPS, pilih TLS Security Policy di kotak dialog Quick Create Listener.
Ubah kebijakan keamanan TLS: Di halaman detail instans, buka tab Listeners. Klik ID pendengar HTTPS target untuk masuk ke halaman Listener Details. Di bagian SSL Certificate, ubah TLS Security Policy.
API
Saat menggunakan operasi CreateListener untuk membuat pendengar HTTPS atau operasi UpdateListenerAttribute untuk memperbarui konfigurasi pendengar HTTPS, atur parameter SecurityPolicyId ke ID kebijakan keamanan TLS.
Gunakan ListSystemSecurityPolicies untuk menanyakan
SecurityPolicyIddari kebijakan sistem default.Gunakan ListSecurityPolicies untuk menanyakan
SecurityPolicyIddari kebijakan kustom.
Penagihan
Kebijakan keamanan TLS gratis. Namun, biaya tetap berlaku untuk instans ALB. Untuk informasi lebih lanjut, lihat Billing.
Going live
Backend traffic security: Untuk memastikan keamanan ujung ke ujung, sebarkan ALB dan server backend di dalam VPC yang sama. Gunakan kebijakan, seperti grup keamanan, untuk membatasi akses secara ketat.
TLS version: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, gunakan TLS 1.2 dan TLS 1.3 untuk memastikan keamanan.
Change rollback: Jika terjadi masalah setelah mengubah kebijakan keamanan TLS, segera kembalikan perubahan tersebut dengan memodifikasi konfigurasi Pendengar. Lakukan perubahan ini selama jam-jam di luar jam sibuk.