Kebijakan keamanan TLS

Saat mengonfigurasi pendengar HTTPS untuk Classic Load Balancer (CLB), kebijakan keamanan TLS menentukan versi TLS dan paket sandi yang didukung selama negosiasi TLS antara instans CLB dan klien. CLB menyediakan kebijakan keamanan TLS preset untuk dipilih.

Cara kerjanya

Kebijakan keamanan TLS dikonfigurasi pada instans CLB untuk menentukan versi TLS dan paket sandi yang didukung selama negosiasi TLS. Selama proses jabat tangan TLS, klien mengirimkan daftar versi protokol dan paket sandi yang didukung dalam pesan ClientHello. Instans CLB memilih kombinasi versi protokol dan paket sandi yang didukung dari daftar berdasarkan kebijakan dan mengirimkan pesan ServerHello sebagai tanggapan. Langkah-langkah selanjutnya, seperti pertukaran kunci dan pembuatan kunci sesi, dilakukan berdasarkan kombinasi yang dipilih.

Standar keamanan informasi yang berbeda mungkin memiliki persyaratan spesifik untuk kebijakan keamanan TLS CLB. Tabel berikut menjelaskan versi TLS dan paket sandi yang didukung oleh setiap kebijakan. Anda dapat memilih kebijakan sesuai dengan kebutuhan Anda. CLB tidak mendukung kebijakan keamanan TLS kustom. Jika Anda memerlukan kebijakan kustom, Anda dapat menggunakan Application Load Balancer (ALB) atau Network Load Balancer (NLB).

Untuk aplikasi yang terpapar ke internet dan tidak memiliki persyaratan kompatibilitas khusus, gunakan kebijakan tls_cipher_policy_1_2 atau versi yang lebih baru.

Detail Kebijakan

Nama Kebijakan		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
Versi TLS	v1.0	Didukung	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung
	v1.1	Didukung	Didukung	Tidak didukung	Tidak didukung	Tidak didukung
	v1.2	Didukung	Didukung	Didukung	Didukung	Didukung
	v1.3	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
Cipher suite	ECDHE-RSA-AES128-GCM-SHA256	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES256-GCM-SHA384	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES128-SHA256	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES256-SHA384	Didukung	Didukung	Didukung	Didukung	Didukung
	AES128-GCM-SHA256	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES256-GCM-SHA384	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES128-SHA256	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES256-SHA256	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	ECDHE-RSA-AES128-SHA	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES256-SHA	Didukung	Didukung	Didukung	Didukung	Didukung
	AES128-SHA	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES256-SHA	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	DES-CBC3-SHA	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	TLS_AES_256_GCM_SHA384	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_CHACHA20_POLY1305_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_AES_128_CCM_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_AES_128_CCM_8_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES128-GCM-SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES256-GCM-SHA384	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES128-SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES256-SHA384	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES128-SHA	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES256-SHA	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung

Konfigurasi kebijakan keamanan TLS untuk pendengar

Konsol

Saat menambahkan pendengar HTTPS, pada tab SSL Certificate, klik Edit di sebelah Advanced Configuration, lalu pilih TLS Security Policy.

Untuk memodifikasi kebijakan keamanan TLS, pada tab Listeners halaman detail instans, klik nama pendengar HTTPS target untuk membuka kotak dialog Listener Details. Di bagian SSL Certificate, modifikasi TLS Security Policy.

API

Saat memanggil operasi CreateLoadBalancerHTTPSListener untuk membuat pendengar HTTPS atau operasi SetLoadBalancerHTTPSListenerAttribute untuk memodifikasi konfigurasi pendengar HTTPS, atur parameter TLSCipherPolicy ke kebijakan keamanan TLS yang diinginkan.

Penagihan

Kebijakan keamanan TLS tidak dikenakan biaya. Pembelian dan penggunaan instans CLB dikenakan biaya.

FAQ

Apakah CLB mendukung kebijakan keamanan TLS kustom?

Tidak, CLB hanya mendukung kebijakan keamanan TLS preset.

Jika Anda memerlukan kebijakan keamanan TLS kustom, Anda dapat menggunakan salah satu produk berikut:

Application Load Balancer (ALB): Saat mengonfigurasi pendengar HTTPS, Anda dapat membuat kebijakan keamanan TLS kustom.
Network Load Balancer (NLB): Saat mengonfigurasi pendengar TCP/SSL, Anda dapat membuat kebijakan keamanan TLS kustom.

Go-live

Versi TLS: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, gunakan TLS 1.2 dan TLS 1.3 untuk memastikan keamanan.
Perubahan dan Rollback: Jika terjadi pengecualian setelah mengubah kebijakan keamanan TLS, segera rollback perubahan dengan memodifikasi konfigurasi pendengar. Lakukan perubahan selama jam-jam sepi.