Saat mengonfigurasi Pendengar TCP/SSL untuk instans NLB, kebijakan keamanan TLS menentukan versi protokol TLS dan paket sandi yang didukung selama proses jabat tangan TLS dengan klien. Anda dapat memilih dari beberapa kebijakan keamanan yang telah ditentukan sistem atau membuat kebijakan kustom jika memiliki persyaratan keamanan atau kepatuhan tertentu.
Cara kerja
Kebijakan keamanan TLS untuk instans NLB menentukan versi protokol TLS dan paket sandi yang didukung oleh instans tersebut selama proses jabat tangan TLS. Selama proses tersebut, klien mengirim daftar versi protokol dan paket sandi yang didukungnya dalam pesan Client Hello. Berdasarkan kebijakan yang ditetapkan, instans NLB memilih kombinasi versi protokol dan paket sandi yang didukung bersama, lalu merespons dengan pesan Server Hello. Langkah-langkah berikutnya, seperti pertukaran kunci dan pembuatan kunci sesi, menggunakan kombinasi yang telah dinegosiasikan ini.
Kebijakan default
Untuk aplikasi yang menghadap internet tanpa persyaratan kompatibilitas khusus, kami merekomendasikan penggunaan kebijakan tls_cipher_policy_1_2 atau versi yang lebih tinggi.
Konsol
Buka halaman Kebijakan keamanan TLS di Konsol NLB. Pada tab System default policy, lihat detail kebijakan tersebut.
API
Panggil operasi ListSystemSecurityPolicy untuk menanyakan kebijakan default sistem.
Kebijakan kustom
Buat kebijakan kustom
Konsol
-
Buka halaman Kebijakan Keamanan TLS di Konsol NLB dan pilih wilayah instans NLB Anda.
-
Klik Create Custom Policy, konfigurasikan parameter, lalu klik Create.
-
Minimum version : Jika beban kerja Anda tidak memiliki kebutuhan kompatibilitas khusus, pilih TLS 1.2 or Later untuk meningkatkan keamanan.
-
Enable TLS 1.3 : Aktifkan opsi ini untuk layanan yang kompatibel guna meningkatkan keamanan dan performa.
-
Cipher suite: Pilih paket sandi yang kompatibel dengan versi TLS yang dipilih.
-
-
Setelah membuat kebijakan, Anda dapat memilihnya saat mengonfigurasi kebijakan keamanan TLS untuk pendengar.
API
Panggil operasi CreateSecurityPolicy untuk membuat kebijakan kustom di wilayah yang sama dengan instans NLB Anda.
Perbarui kebijakan kustom
Konsol
-
Buka halaman Kebijakan Keamanan TLS di Konsol NLB dan pilih wilayah kebijakan kustom tersebut.
-
Temukan kebijakan kustom target dan klik Edit pada kolom Actions . Di kotak dialog Edit TLS Security Policy, perbarui versi protokol TLS atau paket sandi.
API
Panggil operasi UpdateSecurityPolicyAttribute untuk memperbarui atribut kebijakan kustom.
Replikasi kebijakan kustom
Konsol
-
Buka halaman Kebijakan Keamanan TLS di Konsol NLB dan pilih wilayah kebijakan kustom tersebut.
-
Temukan kebijakan kustom target, klik Replicate to Other Regions pada kolom Actions, pilih wilayah tujuan, lalu klik OK.
API
Panggil ListSecurityPolicy untuk mendapatkan parameter seperti TlsVersion dan Ciphers dari kebijakan kustom. Saat memanggil CreateSecurityPolicy untuk membuat kebijakan kustom, teruskan parameter tersebut dan atur bidang RegionId ke ID wilayah tujuan.
Hapus kebijakan kustom
Anda tidak dapat menghapus kebijakan kustom yang sedang digunakan oleh pendengar. Untuk menghapus kebijakan tersebut, Anda harus terlebih dahulu mengubah kebijakan keamanan TLS pendengar atau menghapus pendengar tersebut.
Konsol
-
Buka halaman Kebijakan Keamanan TLS di Konsol NLB dan pilih wilayah kebijakan kustom tersebut.
-
Temukan kebijakan kustom target, klik Delete pada kolom Actions, lalu klik OK.
API
Panggil operasi DeleteSecurityPolicy untuk menghapus kebijakan kustom.
Konfigurasi kebijakan keamanan TLS
Konsol
-
Saat membuat pendengar TCP/SSL, pilih TLS security policy pada tab Configure SSL Certificate. Saat membuat pendengar TCP/SSL secara cepat, pilih TLS security policy di kotak dialog Quick Create Listener.
-
Untuk memodifikasi kebijakan keamanan TLS, buka tab Listener pada halaman detail instans. Klik ID pendengar TCP/SSL target untuk membuka halaman Listener Details. Di bagian SSL Certificate, modifikasi TLS security policy.
API
Saat memanggil operasi CreateListener untuk membuat pendengar TCP/SSL atau operasi UpdateListenerAttribute untuk memperbarui konfigurasi pendengar TCP/SSL, atur parameter SecurityPolicyId ke ID kebijakan keamanan TLS.
-
Panggil operasi ListSystemSecurityPolicy untuk menanyakan
SecurityPolicyIdkebijakan default. -
Panggil operasi ListSecurityPolicy untuk menanyakan
SecurityPolicyIdkebijakan kustom.
Penagihan
Kebijakan keamanan TLS tidak dikenai biaya. Anda hanya dikenai tagihan untuk instans NLB yang Anda gunakan. Untuk informasi selengkapnya, lihat Aturan penagihan NLB.
Pertimbangan produksi
-
Keamanan traffic backend: SSL over TCP mengenkripsi traffic antara klien dan instans NLB, tetapi traffic antara instans NLB dan server backend-nya tidak dienkripsi (teks biasa) secara default. Untuk memastikan keamanan ujung ke ujung, deploy instans NLB dan server backend di VPC yang sama serta kendalikan akses secara ketat menggunakan grup keamanan dan kebijakan lainnya.
-
Versi TLS: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, kami merekomendasikan penggunaan TLS 1.2 dan TLS 1.3.
-
Rollback perubahan: Jika terjadi masalah setelah memodifikasi kebijakan keamanan TLS, segera lakukan rollback perubahan dengan memodifikasi konfigurasi pendengar. Kami merekomendasikan melakukan perubahan ini selama jam sepi untuk meminimalkan potensi gangguan layanan.
-
Algoritma pertukaran kunci: Untuk lingkungan produksi tanpa persyaratan kompatibilitas khusus, hindari penggunaan paket algoritma pertukaran kunci RSA berikut:
AES128-GCM-SHA256,AES256-GCM-SHA384,AES128-SHA256,AES256-SHA256,AES128-SHA,AES256-SHA, danDES-CBC3-SHA. Paket-paket ini tidak mendukung forward secrecy (PFS) dan rentan terhadap serangan side-channel. Utamakan paket sandi yang mencakup ECDHE atau DHE untuk pertukaran kunci.
Pemetaan paket sandi TLS
Tabel ini memetakan nama paket sandi TLS ke format OpenSSL, format standar IANA, dan nilai heksadesimalnya.