Kebijakan keamanan TLS

Saat mengonfigurasi Pendengar HTTPS untuk instans Classic Load Balancer (CLB), kebijakan keamanan TLS menentukan versi protokol TLS dan paket sandi yang digunakan untuk menegosiasikan koneksi aman antara instans dan kliennya. CLB menyediakan serangkaian kebijakan keamanan TLS yang telah ditentukan sebelumnya.

Cara kerja

Kebijakan keamanan TLS pada instans CLB menentukan versi protokol TLS dan paket sandi yang didukung untuk negosiasi TLS. Selama proses jabat tangan TLS, klien mengirim daftar versi protokol dan paket sandi yang didukung dalam pesan Client Hello. Berdasarkan kebijakan yang dikonfigurasi, instans CLB memilih kombinasi versi protokol dan paket sandi yang saling didukung dari daftar tersebut dan merespons dengan pesan Server Hello. Kombinasi yang dipilih menentukan langkah-langkah selanjutnya, seperti pertukaran kunci dan pembuatan kunci sesi.

Berbagai standar keamanan informasi mungkin mensyaratkan kebijakan keamanan TLS tertentu untuk instans CLB Anda. Tabel berikut menjelaskan versi protokol TLS dan paket sandi yang didukung oleh setiap kebijakan. CLB tidak mendukung kebijakan keamanan TLS kustom. Jika Anda memerlukan kebijakan kustom, gunakan Application Load Balancer (ALB) atau Network Load Balancer (NLB).

Untuk aplikasi yang menghadap Internet tanpa persyaratan kompatibilitas khusus, kami merekomendasikan penggunaan tls_cipher_policy_1_2 atau kebijakan yang lebih ketat.

Detail kebijakan

Nama kebijakan		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
Versi protokol TLS	v1.0	Supported	Not supported	Not supported	Not supported	Not supported
	v1.1	Supported	Supported	Not supported	Not supported	Not supported
	v1.2	Supported	Supported	Supported	Supported	Supported
	v1.3	Not supported	Not supported	Not supported	Not supported	Supported
Paket sandi	ECDHE-RSA-AES128-GCM-SHA256	Supported	Supported	Supported	Supported	Supported
	ECDHE-RSA-AES256-GCM-SHA384	Supported	Supported	Supported	Supported	Supported
	ECDHE-RSA-AES128-SHA256	Supported	Supported	Supported	Supported	Supported
	ECDHE-RSA-AES256-SHA384	Supported	Supported	Supported	Supported	Supported
	AES128-GCM-SHA256	Supported	Supported	Supported	Not supported	Not supported
	AES256-GCM-SHA384	Supported	Supported	Supported	Not supported	Not supported
	AES128-SHA256	Supported	Supported	Supported	Not supported	Not supported
	AES256-SHA256	Supported	Supported	Supported	Not supported	Not supported
	ECDHE-RSA-AES128-SHA	Supported	Supported	Supported	Supported	Supported
	ECDHE-RSA-AES256-SHA	Supported	Supported	Supported	Supported	Supported
	AES128-SHA	Supported	Supported	Supported	Not supported	Not supported
	AES256-SHA	Supported	Supported	Supported	Not supported	Not supported
	DES-CBC3-SHA	Supported	Supported	Supported	Not supported	Not supported
	TLS_AES_256_GCM_SHA384	Not supported	Not supported	Not supported	Not supported	Supported
	TLS_CHACHA20_POLY1305_SHA256	Not supported	Not supported	Not supported	Not supported	Supported
	TLS_AES_128_CCM_SHA256	Not supported	Not supported	Not supported	Not supported	Supported
	TLS_AES_128_CCM_8_SHA256	Not supported	Not supported	Not supported	Not supported	Supported
	ECDHE-ECDSA-AES128-GCM-SHA256	Not supported	Not supported	Not supported	Not supported	Supported
	ECDHE-ECDSA-AES256-GCM-SHA384	Not supported	Not supported	Not supported	Not supported	Supported
	ECDHE-ECDSA-AES128-SHA256	Not supported	Not supported	Not supported	Not supported	Supported
	ECDHE-ECDSA-AES256-SHA384	Not supported	Not supported	Not supported	Not supported	Supported
	ECDHE-ECDSA-AES128-SHA	Not supported	Not supported	Not supported	Not supported	Supported
	ECDHE-ECDSA-AES256-SHA	Not supported	Not supported	Not supported	Not supported	Supported

Konfigurasikan kebijakan keamanan TLS untuk pendengar

Konsol

Saat menambahkan pendengar HTTPS, pada langkah Certificate Management Service, klik Modify di samping Advanced Settings. Di bagian yang diperluas, pilih TLS Security Policy.

Untuk mengubah kebijakan keamanan TLS: Pada halaman detail instans, buka tab Listener. Klik nama pendengar HTTPS target untuk membuka kotak dialog Listener Details. Di bagian SSL Certificate, klik Manage Certificates untuk mengubah TLS Security Policy.

API

Saat memanggil operasi CreateLoadBalancerHTTPSListener untuk membuat pendengar HTTPS atau operasi SetLoadBalancerHTTPSListenerAttribute untuk mengubah pendengar HTTPS, tentukan kebijakan keamanan TLS dalam parameter TLSCipherPolicy.

Penagihan

Kebijakan keamanan TLS tidak dikenai biaya. Anda hanya dikenai biaya untuk pembelian dan penggunaan instans CLB.

FAQ

Bagaimana cara menentukan kebijakan keamanan TLS kustom untuk instans CLB?

Anda tidak dapat menentukan kebijakan keamanan TLS kustom untuk instans CLB. CLB hanya mendukung serangkaian kebijakan yang telah ditentukan sebelumnya.

Jika Anda perlu mengonfigurasi kebijakan TLS kustom, misalnya untuk memenuhi persyaratan kepatuhan keamanan tertentu, gunakan salah satu layanan berikut sebagai gantinya:

ALB: Mendukung kebijakan keamanan TLS kustom untuk pendengar HTTPS.
NLB: Mendukung kebijakan keamanan TLS kustom untuk pendengar TCP/SSL.

Penerapan di lingkungan produksi

Versi protokol TLS: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, gunakan TLS 1.2 dan TLS 1.3 untuk memastikan keamanan.
Rollback: Jika terjadi masalah setelah mengubah kebijakan keamanan TLS, Anda dapat segera melakukan rollback dengan memodifikasi konfigurasi pendengar. Lakukan perubahan ini selama jam sepi.
Algoritma pertukaran kunci: Hindari penggunaan paket sandi berbasis RSA berikut di lingkungan produksi karena tidak memiliki Perfect Forward Secrecy (PFS) dan rentan terhadap serangan side-channel:
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256
- AES256-SHA256
- AES128-SHA
- AES256-SHA
- DES-CBC3-SHA
Sebagai gantinya, prioritaskan paket sandi yang mencakup algoritma pertukaran kunci ECDHE atau DHE, kecuali jika Anda memiliki kebutuhan kompatibilitas legacy tertentu.

Referensi paket sandi TLS

Tabel ini menyediakan pemetaan nama paket sandi TLS antara format OpenSSL, format standar IANA, dan representasi heksadesimalnya.

Tabel referensi

Format OpenSSL	Format standar IANA	Nilai heksadesimal
ECDHE-ECDSA-AES128-GCM-SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	0xC02B
ECDHE-ECDSA-AES256-GCM-SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	0xC02C
ECDHE-ECDSA-AES128-SHA256	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	0xC023
ECDHE-ECDSA-AES256-SHA384	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	0xC024
ECDHE-RSA-AES128-GCM-SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	0xC02F
ECDHE-RSA-AES256-GCM-SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	0xC030
ECDHE-RSA-AES128-SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	0xC027
ECDHE-RSA-AES256-SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	0xC028
AES128-GCM-SHA256	TLS_RSA_WITH_AES_128_GCM_SHA256	0x009C
AES256-GCM-SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384	0x009D
AES128-SHA256	TLS_RSA_WITH_AES_128_CBC_SHA256	0x003C
AES256-SHA256	TLS_RSA_WITH_AES_256_CBC_SHA256	0x003D
ECDHE-ECDSA-AES128-SHA	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	0xC009
ECDHE-ECDSA-AES256-SHA	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	0xC00A
ECDHE-RSA-AES128-SHA	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	0xC013
ECDHE-RSA-AES256-SHA	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	0xC014
AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA	0x002F
AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA	0x0035
DES-CBC3-SHA	TLS_RSA_WITH_3DES_EDE_CBC_SHA	0x000A
TLS_AES_256_GCM_SHA384	TLS_AES_256_GCM_SHA384	0x1302
TLS_CHACHA20_POLY1305_SHA256	TLS_CHACHA20_POLY1305_SHA256	0x1303
TLS_AES_128_CCM_SHA256	TLS_AES_128_CCM_SHA256	0x1304
TLS_AES_128_CCM_8_SHA256	TLS_AES_128_CCM_8_SHA256	0x1305