Kebijakan keamanan TLS

Saat mengonfigurasi Pendengar HTTPS untuk instans CLB, kebijakan keamanan TLS menentukan versi protokol TLS dan paket sandi yang digunakan dalam negosiasi TLS dengan klien. CLB menyediakan beberapa kebijakan keamanan TLS bawaan.

Cara kerja

Kebijakan keamanan TLS untuk CLB menentukan versi protokol TLS dan paket sandi yang didukung selama negosiasi TLS. Dalam proses jabat tangan TLS, klien mengirim daftar versi protokol dan paket sandi yang didukungnya melalui pesan Client Hello. Berdasarkan kebijakan tersebut, CLB memilih kombinasi versi protokol dan paket sandi yang didukung bersama dari daftar klien dan merespons dengan pesan Server Hello. Kombinasi ini menentukan langkah-langkah selanjutnya, seperti pertukaran kunci dan pembuatan kunci sesi.

Standar kepatuhan keamanan mungkin mengharuskan instans CLB Anda menggunakan kebijakan keamanan TLS tertentu. Tabel berikut menjelaskan versi protokol TLS dan paket sandi yang didukung oleh setiap kebijakan untuk membantu Anda memilih kebijakan yang sesuai dengan persyaratan Anda. CLB tidak mendukung kebijakan keamanan TLS kustom. Jika Anda memerlukan fungsionalitas ini, gunakan Application Load Balancer (ALB) atau Network Load Balancer (NLB).

Untuk aplikasi yang menghadap Internet tanpa persyaratan kompatibilitas khusus, kami merekomendasikan penggunaan kebijakan tls_cipher_policy_1_2 atau kebijakan yang lebih ketat.

Detail kebijakan

Nama kebijakan		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
Versi protokol TLS	v1.0	Didukung	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung
	v1.1	Didukung	Didukung	Tidak didukung	Tidak didukung	Tidak didukung
	v1.2	Didukung	Didukung	Didukung	Didukung	Didukung
	v1.3	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
Paket sandi	ECDHE-RSA-AES128-GCM-SHA256	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES256-GCM-SHA384	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES128-SHA256	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES256-SHA384	Didukung	Didukung	Didukung	Didukung	Didukung
	AES128-GCM-SHA256	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES256-GCM-SHA384	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES128-SHA256	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES256-SHA256	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	ECDHE-RSA-AES128-SHA	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-RSA-AES256-SHA	Didukung	Didukung	Didukung	Didukung	Didukung
	AES128-SHA	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	AES256-SHA	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	DES-CBC3-SHA	Didukung	Didukung	Didukung	Tidak didukung	Tidak didukung
	TLS_AES_128_GCM_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_AES_256_GCM_SHA384	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_CHACHA20_POLY1305_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_AES_128_CCM_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	TLS_AES_128_CCM_8_SHA256	Tidak didukung	Tidak didukung	Tidak didukung	Tidak didukung	Didukung
	ECDHE-ECDSA-AES128-GCM-SHA256	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-ECDSA-AES256-GCM-SHA384	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-ECDSA-AES128-SHA256	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-ECDSA-AES256-SHA384	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-ECDSA-AES128-SHA	Didukung	Didukung	Didukung	Didukung	Didukung
	ECDHE-ECDSA-AES256-SHA	Didukung	Didukung	Didukung	Didukung	Didukung

Mengonfigurasi kebijakan keamanan TLS

Konsol

Saat menambahkan pendengar HTTPS, klik Modify di samping Advanced Settings pada tab Certificate Management Service. Pada bagian yang diperluas, pilih TLS Security Policy.

Untuk memodifikasi kebijakan keamanan TLS, buka tab Listener pada halaman detail instans, lalu klik nama Pendengar HTTPS yang dituju untuk membuka kotak dialog Listener Details. Di bagian SSL Certificate, ubah TLS Security Policy.

API

Saat memanggil CreateLoadBalancerHTTPSListener untuk membuat Pendengar HTTPS atau SetLoadBalancerHTTPSListenerAttribute untuk memodifikasinya, tentukan kebijakan keamanan TLS melalui parameter TLSCipherPolicy.

Penagihan

Kebijakan keamanan TLS tidak dikenai biaya tambahan. Namun, penggunaan instans CLB tetap dikenakan biaya.

FAQ

Kebijakan keamanan TLS kustom pada CLB

Tidak. CLB hanya mendukung kebijakan keamanan TLS bawaan.

Jika Anda memerlukan kebijakan keamanan TLS kustom, misalnya untuk memenuhi persyaratan kepatuhan keamanan tertentu, gunakan salah satu Produk berikut:

ALB: Anda dapat mengonfigurasi kebijakan keamanan TLS kustom untuk Pendengar HTTPS.
NLB: Anda dapat mengonfigurasi kebijakan keamanan TLS kustom untuk Pendengar TCP/SSL.

Lingkungan produksi

Versi protokol TLS: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, gunakan TLS 1.2 dan TLS 1.3 untuk keamanan optimal.
Rollback: Jika terjadi masalah setelah menyesuaikan kebijakan keamanan TLS, Anda dapat segera melakukan rollback perubahan tersebut dengan memodifikasi konfigurasi listener. Lakukan perubahan ini selama jam sepi.
Algoritma pertukaran kunci: Kecuali jika aplikasi Anda memiliki persyaratan kompatibilitas khusus, hindari paket sandi berbasis RSA berikut di lingkungan produksi: AES128-GCM-SHA256, AES256-GCM-SHA384, AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, dan DES-CBC3-SHA. Paket-paket ini tidak mendukung Perfect Forward Secrecy (PFS) sehingga rentan terhadap serangan side-channel. Utamakan paket sandi yang menggunakan ECDHE atau DHE untuk pertukaran kunci.

Pemetaan paket sandi TLS

Tabel ini menyediakan pemetaan antara format OpenSSL, format standar IANA, dan representasi heksadesimal paket sandi TLS.

Tabel referensi