為NLB配置TCPSSL監聽時,TLS安全性原則決定了NLB與用戶端進行TLS協商時支援的TLS協議版本和密碼編譯演算法套件。NLB預置了部分常用的系統預設策略供使用者直接選擇。對於有定製安全性原則的特定需求情境,可以使用自訂TLS安全性原則。
工作原理
TLS安全性原則配置在NLB側,用於定義其在TLS協商中支援的TLS協議版本和密碼編譯演算法套件。在握手過程中,用戶端通過Client Hello發送支援的協議版本和加密套件列表,NLB根據策略從列表中選擇雙方都支援的協議版本和加密套件組合并以Server Hello響應,後續步驟(如金鑰交換、工作階段金鑰產生)均基於此方案進行。
系統預設策略
對於面向公網且無特殊相容性要求的應用,建議使用 tls_cipher_policy_1_2 及以上策略。
控制台
前往NLB控制台的TLS安全性原則頁面,在系統預設策略頁簽查看策略的詳細資料。
API
調用ListSystemSecurityPolicy介面查詢系統預設策略。
自訂策略
建立自訂策略
控制台
前往NLB控制台的TLS安全性原則頁面,選擇NLB執行個體所在地區。
單擊建立自訂策略,參考以下資訊進行配置,配置完成後單擊建立。
選擇最低版本:如業務無特殊相容性要求,建議選擇TLS 1.2及以上保障安全性。
啟用TLS 1.3版本:為保障網路通訊的安全性與效率,建議在業務相容的前提下啟用。
選擇密碼編譯演算法套件:需要與TLS協議版本匹配。
建立完成後,即可在為監聽配置TLS安全性原則中選擇該自訂策略。
API
調用CreateSecurityPolicy建立自訂策略。注意自訂策略的地區必須與NLB執行個體的地區保持一致。
更新自訂策略屬性
控制台
前往NLB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
找到目標自訂策略,單擊操作列的編輯,在編輯TLS安全性原則對話方塊更新TLS協議版本或密碼編譯演算法套件。
API
調用UpdateSecurityPolicyAttribute更新自訂策略屬性。
複製自訂策略到其他地區
控制台
前往NLB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
找到目標自訂策略,單擊操作列的複製到其他地區,選擇目標地區並確定。
API
調用ListSecurityPolicy擷取自訂策略的TlsVersion和Ciphers等參數,在調用CreateSecurityPolicy建立自訂策略時傳入,注意RegionId欄位傳入目標地區ID。
刪除自訂策略
若自訂策略已被監聽使用,請先修改監聽的TLS安全性原則或刪除監聽,方可刪除自訂策略。
控制台
前往NLB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
找到目標自訂策略,單擊操作列的刪除並確定。
API
調用DeleteSecurityPolicy刪除自訂策略。
為監聽配置TLS安全性原則
控制台
建立TCPSSL監聽時,在配置SSL認證頁簽選擇TLS安全性原則;快速建立TCPSSL監聽時,在快速建立監聽對話方塊中選擇TLS安全性原則。
修改TLS安全性原則:在執行個體詳情頁的監聽頁簽,單擊目標TCPSSL監聽ID進入監聽詳情頁,在SSL認證地區修改TLS安全性原則。
API
調用CreateListener建立TCPSSL監聽或調用UpdateListenerAttribute更新TCPSSL監聽配置時,SecurityPolicyId欄位傳入TLS安全性原則。
可調用ListSystemSecurityPolicy查詢系統預設策略的
SecurityPolicyId。可調用ListSecurityPolicy查詢自訂策略的
SecurityPolicyId。
計費說明
TLS安全性原則本身不產生任何費用。購買和使用NLB執行個體將產生費用,詳見NLB計費規則。
應用於生產環境
後端流量安全:用戶端與NLB之間流量進行TCPSSL加密,但NLB與後端伺服器之間的流量預設是明文的。為確保端到端安全,應將NLB和後端伺服器部署在同一 VPC 內,並通過安全性群組等策略嚴格限制訪問。
TLS協議版本:如應用無特殊相容性要求,建議使用TLS 1.2和TLS 1.3保障安全性。
變更復原:調整TLS安全性原則後,若出現異常,可立即通過修改監聽配置復原。建議在業務低峰期進行變更。