このトピックでは、Application Load Balancer(ALB)のカスタム TLS セキュリティポリシーを設定する方法について説明します。ほとんどの場合、Alibaba Cloud にデプロイされた Web サイトまたはアプリケーションは、HTTPS を使用してデータ転送を暗号化します。 ALB は、一般的に使用される TLS セキュリティポリシーを提供して、HTTPS を使用するサービスのセキュリティを強化します。 ALB では、カスタム TLS セキュリティポリシーを設定することもできます。たとえば、使用する TLS バージョンを指定したり、特定の TLS 暗号スイートを無効にしたりできます。
システム TLS セキュリティポリシー
システム TLS セキュリティポリシー
TLS セキュリティポリシーは、TLS バージョンと暗号スイートで構成されます。新しいバージョンは、より高度な保護をサポートしますが、ブラウザとの互換性は低くなります。
セキュリティポリシー | サポートされている TLS バージョン | サポートされている暗号スイート |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
システム TLS セキュリティポリシーの違い
次の表では、チェックマーク(✔)は、暗号スイートが TLS バージョンでサポートされていることを示します。ハイフン(-)は、暗号スイートが TLS バージョンでサポートされていないことを示します。
セキュリティポリシー | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ | |
カスタム TLS セキュリティポリシー
適用可能なシナリオ
ALB は、一般的に使用される TLS セキュリティポリシーを提供して、サービスのセキュリティを強化します。 ALB では、カスタム TLS セキュリティポリシーを設定することもできます。たとえば、使用する TLS バージョンを指定したり、特定の TLS 暗号スイートを無効にしたりできます。
制限事項
ベーシック ALB インスタンスは、カスタム TLS セキュリティポリシーをサポートしていません。
スタンダード ALB インスタンスと WAF 対応 ALB インスタンスの場合、HTTPS リスナーのみが TLS セキュリティポリシーをサポートします。
手順
カスタム TLS セキュリティポリシーを作成するには、次の手順を実行します。
ALB コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[TLS セキュリティポリシー] ページの [カスタムポリシー] タブで、[カスタムポリシーの作成] をクリックします。
[TLS セキュリティポリシーの作成] ダイアログボックスで、パラメーターを設定します。次の表では、このトピックに関連するパラメーターのみについて説明します。ビジネス要件に基づいて他のパラメーターを設定するか、デフォルト値を使用できます。上記のパラメーターを設定したら、[作成] をクリックします。
パラメーター
説明
名前
TLS セキュリティポリシーの名前を入力します。
最小バージョン
作成する TLS セキュリティポリシーのバージョンを選択します。
TLS 1.0 以降
TLS 1.1 以降
TLS 1.2 以降
TLS 1.3 を有効にする
TLS 1.3 を有効にするかどうかを選択します。
重要TLS 1.3 を有効にするには、TLS 1.3 でサポートされている暗号スイートを選択する必要があります。サポートされている暗号スイートを選択しないと、システムが接続の作成に失敗する可能性があります。
暗号スイート
指定された TLS バージョンでサポートされている暗号スイートを選択します。
カスタム TLS セキュリティポリシーを作成した後、HTTPS リスナーと SSL 証明書を作成する必要があります。詳細については、「HTTPS リスナーを追加する」をご参照ください。
参照
ALB の HTTPS リスナーを設定する方法の詳細については、「HTTPS リスナーを追加する」をご参照ください。
カスタム TLS セキュリティポリシーを使用してセキュリティを強化する方法の詳細については、「カスタム TLS セキュリティポリシーを使用して Web サイトのセキュリティを向上させる」をご参照ください。
さまざまなシナリオで HTTPS を設定する方法の詳細については、「データ転送のためのエンドツーエンドの HTTPS 暗号化を設定する」、「HTTPS 経由で複数のドメイン名を提供するように ALB インスタンスを設定する」、「HTTPS リスナーで相互認証を設定する」、および「HTTP リクエストを HTTPS リスナーにリダイレクトする」をご参照ください。