TLS セキュリティポリシーと暗号スイートサポートの比較 - Global Accelerator (GA)

Global Accelerator (GA) の HTTPS リスナーを設定する際、TLS セキュリティポリシーによって、クライアントとの TLS ネゴシエーション中に GA がサポートする TLS バージョンと暗号スイートが決定されます。GA は、利用可能な共通のデフォルトポリシーをいくつか提供しています。カスタムのセキュリティ要件があるシナリオでは、カスタム TLS セキュリティポリシーを作成できます。

仕組み

GA の TLS セキュリティポリシーを設定します。これらのポリシーは、TLS ネゴシエーション中に GA がサポートする TLS バージョンと暗号スイートを定義します。ハンドシェイク中、クライアントはサポートされているプロトコルバージョンと暗号スイートのリストを Client Hello メッセージで送信します。設定されたポリシーに基づき、GA はクライアントと GA の両方でサポートされているプロトコルバージョンと暗号スイートを選択します。その後、GA は Server Hello メッセージで応答します。キー交換やセッションキーの生成などの後続のステップは、この選択に基づいて進行します。

デフォルトポリシー

さまざまな情報セキュリティ基準により、GA の TLS セキュリティポリシーに要件が課される場合があります。以下の表を展開して、デフォルトポリシーでサポートされている TLS バージョンと暗号スイートをご確認ください。必要に応じてポリシーを選択できます。デフォルトポリシーが要件を満たさない場合は、カスタムポリシーを作成できます。

ポリシー詳細

ポリシー名		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
TLS バージョン	v1.0	対応	非対応	非対応	非対応	非対応
	v1.1	対応	対応	非対応	非対応	非対応
	v1.2	対応	対応	対応	対応	対応
	v1.3	非対応	非対応	非対応	非対応	対応
暗号スイート	ECDHE-RSA-AES128-GCM-SHA256	対応	対応	対応	対応	対応
	ECDHE-RSA-AES256-GCM-SHA384	対応	対応	対応	対応	対応
	ECDHE-RSA-AES128-SHA256	対応	対応	対応	対応	対応
	ECDHE-RSA-AES256-SHA384	対応	対応	対応	対応	対応
	AES128-GCM-SHA256	対応	対応	対応	非対応	非対応
	AES256-GCM-SHA384	対応	対応	対応	非対応	非対応
	AES128-SHA256	対応	対応	対応	非対応	非対応
	AES256-SHA256	対応	対応	対応	非対応	非対応
	ECDHE-RSA-AES128-SHA	対応	対応	対応	対応	対応
	ECDHE-RSA-AES256-SHA	対応	対応	対応	対応	対応
	AES128-SHA	対応	対応	対応	非対応	非対応
	AES256-SHA	対応	対応	対応	非対応	非対応
	DES-CBC3-SHA	対応	対応	対応	非対応	非対応
	TLS_AES_128_GCM_SHA256	非対応	非対応	非対応	非対応	対応
	TLS_AES_256_GCM_SHA384	非対応	非対応	非対応	非対応	対応
	TLS_CHACHA20_POLY1305_SHA256	非対応	非対応	非対応	非対応	対応
	TLS_AES_128_CCM_SHA256	非対応	非対応	非対応	非対応	対応
	TLS_AES_128_CCM_8_SHA256	非対応	非対応	非対応	非対応	対応
	ECDHE-ECDSA-AES128-GCM-SHA256	非対応	非対応	非対応	非対応	対応
	ECDHE-ECDSA-AES256-GCM-SHA384	非対応	非対応	非対応	非対応	対応
	ECDHE-ECDSA-AES128-SHA256	非対応	非対応	非対応	非対応	対応
	ECDHE-ECDSA-AES256-SHA384	非対応	非対応	非対応	非対応	対応
	ECDHE-ECDSA-AES128-SHA	非対応	非対応	非対応	非対応	対応
	ECDHE-ECDSA-AES256-SHA	非対応	非対応	非対応	非対応	対応

GA コンソールで、TLS セキュリティポリシーページに移動します。System Default Policy タブで、ポリシーの詳細を表示できます。

特別な互換性要件がない公開アプリケーションの場合は、tls_cipher_policy_1_2 ポリシーまたはそれ以上のセキュリティレベルのポリシーを使用することを推奨します。

カスタムポリシー

デフォルトポリシーがセキュリティやコンプライアンスの要件 (特定の TLS バージョンのサポートや特定の暗号スイートの無効化など) を満たさない場合は、カスタム TLS セキュリティポリシーを作成できます。

カスタムポリシーの作成

GA コンソールのTLS セキュリティポリシーページに移動し、Create Custom Policy をクリックします。次の一覧で説明されているパラメーターを設定します。設定が完了したら、[OK] をクリックします。

Security Policy Name: カスタムポリシーの名前。
Minimum Version: ビジネスに特別な互換性要件がない場合は、セキュリティを確保するために、TLS 1.2 or higher を選択することを推奨します。
Enable TLS 1.3: ネットワーク通信のセキュリティと効率を確保するため、ビジネス要件と互換性がある場合は、この機能を有効にすることを推奨します。
Cipher Suites: 必要な暗号スイートを選択し、右側の選択ボックスに移動します。なお、選択した暗号スイートは、選択した TLS バージョンと互換性がある必要があります。

各アカウントで最大 50 個のカスタム TLS セキュリティポリシーを作成できます。

カスタムポリシーの TLS バージョンと暗号スイートの更新

GA コンソールのTLS セキュリティポリシーページに移動します。対象のカスタムポリシーの操作列で、編集をクリックします。表示される Edit Custom Policy ダイアログボックスで、TLS バージョンと暗号スイートを更新します。

カスタムポリシーの削除

カスタムポリシーがリスナーによって使用されている場合、そのカスタムポリシーを削除する前に、リスナーの TLS セキュリティポリシーを変更するか、リスナーを削除する必要があります。

GA コンソールで TLS セキュリティポリシーページに移動します。対象のカスタムポリシーの操作列で、削除をクリックし、次に [OK] をクリックします。

リスナーの TLS セキュリティポリシーの設定

HTTPS リスナーを追加するときは、リスナー設定ページで TLS セキュリティポリシー パラメーターにシステムデフォルトポリシーまたはカスタムポリシーを選択します。設定方法は、設定ウィザードを使用して中間の従量課金 GA インスタンスを作成する場合でも、リスナーを個別に追加する場合でも同じです。
標準の従量課金 GA インスタンスのみがカスタム TLS セキュリティポリシーをサポートします。
リスナーのHTTP プロトコルの最大バージョンが[HTTP/3]に設定されている場合、カスタム TLS セキュリティポリシーはサポートされていません。
TLS セキュリティポリシーを変更するには、インスタンスリストページの GA コンソールに移動し、ターゲットインスタンスの ID をクリックします。リスナー タブで、ターゲット HTTPS リスナーの ID をクリックして リスナーの詳細 ページに移動します。SSL 証明書 セクションで、TLS セキュリティポリシー を変更します。

課金

TLS セキュリティポリシーは無料です。ただし、GA インスタンスおよびサーバー証明書には料金が発生します。