為ALB配置HTTPS監聽時,TLS安全性原則決定了ALB與用戶端進行TLS協商時支援的TLS協議版本和密碼編譯演算法套件。ALB預置了部分常用的系統預設策略供使用者直接選擇。對於有定製安全性原則的特定需求情境,可以使用自訂TLS安全性原則。
工作原理
TLS安全性原則配置在ALB側,用於定義其在TLS協商中支援的TLS協議版本和密碼編譯演算法套件。在握手過程中,用戶端通過Client Hello發送支援的協議版本和加密套件列表,ALB根據策略從列表中選擇雙方都支援的協議版本和加密套件組合并以Server Hello響應,後續步驟(如金鑰交換、工作階段金鑰產生)均基於此方案進行。
系統預設策略
各類資訊安全標準可能對ALB的TLS安全性原則提出要求,使用者可展開下表查看系統預設策略支援的TLS協議版本和密碼編譯演算法套件,並按需配置。如系統預設策略無法滿足需求,可建立自訂策略。
對於面向公網且無特殊相容性要求的應用,建議使用 tls_cipher_policy_1_2 及以上策略。
控制台
前往ALB控制台的TLS安全性原則頁面,在系統預設策略頁簽查看策略的詳細資料。
API
調用ListSystemSecurityPolicies介面查詢系統預設策略。
自訂策略
僅標準版和WAF增強版ALB執行個體支援自訂策略;基礎版ALB執行個體不支援。
建立自訂策略
控制台
前往ALB控制台的TLS安全性原則頁面,選擇ALB執行個體所在地區。
單擊建立自訂策略,參考以下資訊進行配置,配置完成後單擊建立。
選擇最低版本:如業務無特殊相容性要求,建議選擇TLS 1.2及以上保障安全性。
啟用TLS 1.3版本:為保障網路通訊的安全性與效率,建議在業務相容的前提下啟用。
選擇密碼編譯演算法套件:需要與TLS協議版本匹配。
建立完成後,即可在為監聽配置TLS安全性原則中選擇該自訂策略。
API
調用CreateSecurityPolicy建立自訂策略。注意自訂策略的地區必須與ALB執行個體的地區保持一致。
更新自訂策略的TLS協議版本和密碼編譯演算法套件
控制台
前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
找到目標自訂策略,單擊操作列的編輯,在編輯TLS安全性原則對話方塊更新TLS協議版本和密碼編譯演算法套件。
API
調用UpdateSecurityPolicyAttribute更新自訂策略屬性。
複製自訂策略到其他地區
控制台
前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
找到目標自訂策略,單擊操作列的複製到其他地區,選擇目標地區並確定。
API
調用ListSecurityPolicies擷取自訂策略的TLSVersions和Ciphers等參數,在調用CreateSecurityPolicy建立自訂策略時傳入。
刪除自訂策略
若自訂策略已被監聽使用,請先修改監聽的TLS安全性原則或刪除監聽,方可刪除自訂策略。
控制台
前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
找到目標自訂策略,單擊操作列的刪除並確定。
API
調用DeleteSecurityPolicy刪除自訂策略。
為監聽配置TLS安全性原則
控制台
建立HTTPS監聽時,在配置SSL認證頁簽選擇TLS安全性原則;快速建立HTTPS監聽時,在快速建立監聽對話方塊中選擇TLS安全性原則。
修改TLS安全性原則:在執行個體詳情頁的監聽頁簽,單擊目標HTTPS監聽ID進入監聽詳情頁,在SSL認證地區修改TLS安全性原則。
API
調用CreateListener建立HTTPS監聽或調用UpdateListenerAttribute更新HTTPS監聽配置時,SecurityPolicyId欄位傳入TLS安全性原則。
可調用ListSystemSecurityPolicies查詢系統預設策略的
SecurityPolicyId。可調用ListSecurityPolicies查詢自訂策略的
SecurityPolicyId。
計費說明
TLS安全性原則不產生費用,但您需要為ALB執行個體本身付費。
應用於生產環境
後端流量安全:為確保端到端安全,建議將ALB和後端伺服器部署在同一 VPC 內,並通過安全性群組等策略嚴格限制訪問。
TLS協議版本:如應用無特殊相容性要求,建議使用TLS 1.2和TLS 1.3保障安全性。
變更復原:調整TLS安全性原則後,若出現異常,可立即通過修改監聽配置復原。建議在業務低峰期進行變更。