Política de seguridad de TLS
Escenarios
Al agregar oyentes de HTTPS, puede seleccionar las políticas de seguridad adecuadas para mejorar la seguridad. Una política de seguridad es una combinación de protocolos TLS de diferentes versiones y conjuntos de cifrado compatibles.
- Balanceadores de carga dedicados: puede seleccionar la política de seguridad predeterminada o crear una política personalizada. Para obtener más información, véase Creación de una política de seguridad personalizada.
- Balanceadores de carga compartidos: puede seleccionar la política de seguridad predeterminada.
Las políticas de seguridad personalizadas solo se pueden crear en CN-Hong Kong, AP-Bangkok y AP-Singapore.
Adición de una política de seguridad
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
- Busque el balanceador de carga y haga clic en su nombre.
- En Listeners, haga clic en Add Listener.
- En el cuadro de diálogo Add Listener, establezca Frontend Protocol en HTTPS.
- Expanda Advanced Settings y seleccione una política de seguridad.
Tabla 1 muestra las políticas de seguridad predeterminadas. Seleccione una política de seguridad predeterminada o cree una política de seguridad personalizada haciendo referencia a Creación de una política de seguridad personalizada.
Tabla 1 Políticas de seguridad predeterminadas Políticas de seguridad
Descripción
Versiones de TLS
Suites de cifrado
TLS-1-0
TLS 1.0, TLS 1.1 y TLS 1.2 y suites de cifrado compatibles (alta compatibilidad y seguridad moderada)
TLS 1.2
TLS 1.1
TLS 1.0
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- ECDHE-ECDSA-AES256-SHA
- AES128-SHA
- AES256-SHA
TLS-1-1
TLS 1.1 y TLS 1.2 y suites de cifrado compatibles (compatibilidad moderada y seguridad moderada)
TLS 1.2
TLS 1.1
TLS-1-2
TLS 1.2 y suites de cifrado compatibles (compatibilidad moderada y alta seguridad)
TLS 1.2
TLS-1-2-Strict
Estricto TLS 1.2 y suites de cifrado compatibles (baja compatibilidad y seguridad ultraalta)
TLS 1.2
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
TLS-1-0-WITH-1-3 (para balanceadores de carga dedicados)
TLS 1.0 y posteriores, y suites de cifrado compatibles (compatibilidad ultraalta y baja seguridad)
TLS 1.3
TLS 1.2
TLS 1.1
TLS 1.0
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- ECDHE-ECDSA-AES256-SHA
- AES128-SHA
- AES256-SHA
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_CCM_SHA256
- TLS_AES_128_CCM_8_SHA256
TLS-1-2-FS-WITH-1-3 (para balanceadores de carga dedicados)
TLS 1.2 y posteriores, y suites de cifrado de secreto hacia adelante compatibles (alta compatibilidad y seguridad ultraalta)
TLS 1.3
TLS 1.2
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_CCM_SHA256
- TLS_AES_128_CCM_8_SHA256
TLS-1-2-FS (para balanceadores de carga dedicados)
TLS 1.2 y suites de cifrado de secreto directo compatibles (compatibilidad moderada y seguridad ultraalta)
TLS 1.2
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
tls-1-2-strict-no-cbc (balanceadores de carga dedicados)
TLS 1.2 y conjuntos de encriptación compatibles que excluyen el algoritmo de encriptación CBC (baja compatibilidad y seguridad ultraalta)
TLS 1.2
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- TLS-1-0-WITH-1-3, TLS-1-2-FS-WITH-1-3, TLS-1-2-FS, hybrid-policy-1-0 y tls-1-2-strict-no-cbc solo están disponibles para balanceadores de carga dedicados.
- La última versión de TLS soportada por balanceadores de carga dedicados es TLS 1.3, mientras que la última versión soportada por balanceadores de carga compartidos es TLS 1.2.
- Esta tabla enumera los conjuntos de cifrado soportados por ELB. En general, los clientes también admiten múltiples suites de cifrado. En uso real, se utiliza la intersección de los conjuntos de cifrado soportados por ELB y aquellos soportados por los clientes, y los conjuntos de cifrado soportados por ELB tienen prioridad.
- Haga clic en OK.
Diferencias entre las políticas de seguridad
Política de seguridad |
TLS-1-0 |
TLS-1-1 |
TLS-1-2 |
TLS-1-2-Strict |
TLS-1-0-WITH-1-3 |
TLS-1-2-FS-WITH-1-3 |
TLS-1-2-FS |
---|---|---|---|---|---|---|---|
Versiones de TLS |
|||||||
TLS 1.3 |
- |
- |
- |
- |
√ |
√ |
√ |
TLS 1.2 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
TLS 1.1 |
√ |
√ |
- |
- |
√ |
- |
- |
TLS 1.0 |
√ |
- |
- |
- |
√ |
- |
- |
Cipher suite |
|||||||
EDHE-RSA-AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
- |
- |
- |
ECDHE-RSA-AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-RSA-AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-RSA-AES256-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
√ |
- |
- |
AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
- |
- |
AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
- |
- |
AES256-SHA256 |
√ |
√ |
√ |
√ |
√ |
- |
- |
ECDHE-RSA-AES128-SHA |
√ |
√ |
√ |
- |
√ |
- |
- |
ECDHE-RSA-AES256-SHA |
√ |
√ |
√ |
- |
√ |
- |
- |
AES128-SHA |
√ |
√ |
√ |
- |
√ |
- |
- |
AES256-SHA |
√ |
√ |
√ |
- |
√ |
- |
- |
ECDHE-ECDSA-AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES128-SHA |
√ |
√ |
√ |
- |
√ |
- |
- |
ECDHE-ECDSA-AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES256-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES256-SHA |
√ |
√ |
√ |
- |
√ |
- |
- |
ECDHE-RSA-AES128-GCM-SHA256 |
- |
- |
- |
- |
√ |
√ |
√ |
TLS_AES_256_GCM_SHA384 |
- |
- |
- |
- |
√ |
√ |
√ |
TLS_CHACHA20_POLY1305_SHA256 |
- |
- |
- |
- |
√ |
√ |
√ |
TLS_AES_128_GCM_SHA256 |
- |
- |
- |
- |
√ |
√ |
√ |
TLS_AES_128_CCM_8_SHA256 |
- |
- |
- |
- |
√ |
√ |
√ |
TLS_AES_128_CCM_SHA256 |
- |
- |
- |
- |
√ |
√ |
√ |
Creación de una política de seguridad personalizada
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
- En el panel de navegación de la izquierda, elija TLS Security Policies.
- En la página mostrada, haga clic en Create Custom Security Policy en la esquina superior derecha.
- Configura los parámetros basados en Tabla 3.
Tabla 3 Parámetros de política de seguridad personalizados Parámetro
Descripción
Valor de ejemplo
Name
Especifica el nombre de la política de seguridad personalizada.
tls-test
TLS Version
Especifica la versión de TLS admitida por la política de seguridad personalizada. Puede seleccionar varias versiones:
- TLS 1.0
- TLS 1.1
- TLS 1.2
- TLS 1.3
-
Cipher Suite
Especifica los conjuntos de cifrado que coinciden con las versiones de TLS seleccionadas.
-
Description
Proporciona información adicional acerca de la política de seguridad personalizada.
-
- Haga clic en OK.
Modificación de una política de seguridad personalizada
Puede modificar una política de seguridad personalizada según lo necesite.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
- En el panel de navegación de la izquierda, elija TLS Security Policies.
- En la página TLS Security Policies, haga clic en Custom Security Policies, busque la política de seguridad personalizada y haga clic en Modify en la columna Operation.
- En el cuadro de diálogo que se muestra, modifique la política de seguridad personalizada como se describe en Tabla 3.
- Haga clic en OK.
Eliminación de una política de seguridad personalizada
Puede eliminar una política de seguridad personalizada según lo necesite.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
- En el panel de navegación de la izquierda, elija TLS Security Policies.
- En la página TLS Security Policies, haga clic en Custom Security Policies, busque la política de seguridad personalizada y haga clic en Delete en la columna Operation.
- Haga clic en Yes.
Cambio de una política de seguridad
Cuando cambie una política de seguridad, asegúrese de que el grupo de seguridad que contiene servidores backend permita el tráfico de 100.125.0.0/16 a servidores backend y permita paquetes ICMP para comprobaciones de estado UDP. De lo contrario, los servidores backend se considerarán no saludables y el enrutamiento se verá afectado.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
- Busque el balanceador de carga y haga clic en su nombre.
- Haga clic en Listeners, busque el oyente y haga clic en su nombre.
- En la página de ficha Summary, haga clic en Edit en la parte superior derecha.
- En el cuadro de diálogo Modify Listener, expanda Advanced Settings y cambie la política de seguridad.
- Haga clic en OK.