Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Elastic Load Balance/ Guía del usuario/ Características avanzadas de los oyentes de HTTP/HTTPS/ Política de seguridad de TLS
Actualización más reciente 2024-06-28 GMT+08:00
Ver PDF
Compartir

Política de seguridad de TLS

Escenarios

Al agregar oyentes de HTTPS, puede seleccionar las políticas de seguridad adecuadas para mejorar la seguridad. Una política de seguridad es una combinación de protocolos TLS de diferentes versiones y conjuntos de cifrado compatibles.

  • Balanceadores de carga dedicados: puede seleccionar la política de seguridad predeterminada o crear una política personalizada. Para obtener más información, véase Creación de una política de seguridad personalizada.
  • Balanceadores de carga compartidos: puede seleccionar la política de seguridad predeterminada.

Las políticas de seguridad personalizadas solo se pueden crear en CN-Hong Kong, AP-Bangkok y AP-Singapore.

Adición de una política de seguridad

  1. Inicie sesión en la consola de gestión.
  2. En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
  3. Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
  4. Busque el balanceador de carga y haga clic en su nombre.
  5. En Listeners, haga clic en Add Listener.
  6. En el cuadro de diálogo Add Listener, establezca Frontend Protocol en HTTPS.
  7. Expanda Advanced Settings y seleccione una política de seguridad.
    Tabla 1 muestra las políticas de seguridad predeterminadas. Seleccione una política de seguridad predeterminada o cree una política de seguridad personalizada haciendo referencia a Creación de una política de seguridad personalizada.
    Tabla 1 Políticas de seguridad predeterminadas

    Políticas de seguridad

    Descripción

    Versiones de TLS

    Suites de cifrado

    TLS-1-0

    TLS 1.0, TLS 1.1 y TLS 1.2 y suites de cifrado compatibles (alta compatibilidad y seguridad moderada)

    TLS 1.2

    TLS 1.1

    TLS 1.0
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA
    • ECDHE-RSA-AES256-SHA
    • ECDHE-ECDSA-AES256-SHA
    • AES128-SHA
    • AES256-SHA

    TLS-1-1

    TLS 1.1 y TLS 1.2 y suites de cifrado compatibles (compatibilidad moderada y seguridad moderada)

    TLS 1.2

    TLS 1.1

    TLS-1-2

    TLS 1.2 y suites de cifrado compatibles (compatibilidad moderada y alta seguridad)

    TLS 1.2

    TLS-1-2-Strict

    Estricto TLS 1.2 y suites de cifrado compatibles (baja compatibilidad y seguridad ultraalta)

    TLS 1.2
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384

    TLS-1-0-WITH-1-3 (para balanceadores de carga dedicados)

    TLS 1.0 y posteriores, y suites de cifrado compatibles (compatibilidad ultraalta y baja seguridad)

    TLS 1.3

    TLS 1.2

    TLS 1.1

    TLS 1.0
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • AES128-GCM-SHA256
    • AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • AES128-SHA256
    • AES256-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-ECDSA-AES128-SHA
    • ECDHE-RSA-AES128-SHA
    • ECDHE-RSA-AES256-SHA
    • ECDHE-ECDSA-AES256-SHA
    • AES128-SHA
    • AES256-SHA
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_CCM_SHA256
    • TLS_AES_128_CCM_8_SHA256

    TLS-1-2-FS-WITH-1-3 (para balanceadores de carga dedicados)

    TLS 1.2 y posteriores, y suites de cifrado de secreto hacia adelante compatibles (alta compatibilidad y seguridad ultraalta)

    TLS 1.3

    TLS 1.2
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_CCM_SHA256
    • TLS_AES_128_CCM_8_SHA256

    TLS-1-2-FS (para balanceadores de carga dedicados)

    TLS 1.2 y suites de cifrado de secreto directo compatibles (compatibilidad moderada y seguridad ultraalta)

    TLS 1.2
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA384

    tls-1-2-strict-no-cbc (balanceadores de carga dedicados)

    TLS 1.2 y conjuntos de encriptación compatibles que excluyen el algoritmo de encriptación CBC (baja compatibilidad y seguridad ultraalta)

    TLS 1.2
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • TLS-1-0-WITH-1-3, TLS-1-2-FS-WITH-1-3, TLS-1-2-FS, hybrid-policy-1-0 y tls-1-2-strict-no-cbc solo están disponibles para balanceadores de carga dedicados.
    • La última versión de TLS soportada por balanceadores de carga dedicados es TLS 1.3, mientras que la última versión soportada por balanceadores de carga compartidos es TLS 1.2.
    • Esta tabla enumera los conjuntos de cifrado soportados por ELB. En general, los clientes también admiten múltiples suites de cifrado. En uso real, se utiliza la intersección de los conjuntos de cifrado soportados por ELB y aquellos soportados por los clientes, y los conjuntos de cifrado soportados por ELB tienen prioridad.
  8. Haga clic en OK.

Diferencias entre las políticas de seguridad

Tabla 2 Diferencias entre las políticas de seguridad

Política de seguridad

TLS-1-0

TLS-1-1

TLS-1-2

TLS-1-2-Strict

TLS-1-0-WITH-1-3

TLS-1-2-FS-WITH-1-3

TLS-1-2-FS

Versiones de TLS

TLS 1.3

-

-

-

-

TLS 1.2

TLS 1.1

-

-

-

-

TLS 1.0

-

-

-

-

-

Cipher suite

EDHE-RSA-AES128-GCM-SHA256

-

-

-

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

-

-

AES256-GCM-SHA384

-

-

AES128-SHA256

-

-

AES256-SHA256

-

-

ECDHE-RSA-AES128-SHA

-

-

-

ECDHE-RSA-AES256-SHA

-

-

-

AES128-SHA

-

-

-

AES256-SHA

-

-

-

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

-

-

-

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-ECDSA-AES256-SHA

-

-

-

ECDHE-RSA-AES128-GCM-SHA256

-

-

-

-

TLS_AES_256_GCM_SHA384

-

-

-

-

TLS_CHACHA20_POLY1305_SHA256

-

-

-

-

TLS_AES_128_GCM_SHA256

-

-

-

-

TLS_AES_128_CCM_8_SHA256

-

-

-

-

TLS_AES_128_CCM_SHA256

-

-

-

-

Creación de una política de seguridad personalizada

  1. Inicie sesión en la consola de gestión.
  2. En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
  3. Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
  4. En el panel de navegación de la izquierda, elija TLS Security Policies.
  5. En la página mostrada, haga clic en Create Custom Security Policy en la esquina superior derecha.
  6. Configura los parámetros basados en Tabla 3.
    Tabla 3 Parámetros de política de seguridad personalizados

    Parámetro

    Descripción

    Valor de ejemplo

    Name

    Especifica el nombre de la política de seguridad personalizada.

    tls-test

    TLS Version

    Especifica la versión de TLS admitida por la política de seguridad personalizada. Puede seleccionar varias versiones:

    • TLS 1.0
    • TLS 1.1
    • TLS 1.2
    • TLS 1.3

    -

    Cipher Suite

    Especifica los conjuntos de cifrado que coinciden con las versiones de TLS seleccionadas.

    -

    Description

    Proporciona información adicional acerca de la política de seguridad personalizada.

    -
  7. Haga clic en OK.

Modificación de una política de seguridad personalizada

Puede modificar una política de seguridad personalizada según lo necesite.

  1. Inicie sesión en la consola de gestión.
  2. En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
  3. Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
  4. En el panel de navegación de la izquierda, elija TLS Security Policies.
  5. En la página TLS Security Policies, haga clic en Custom Security Policies, busque la política de seguridad personalizada y haga clic en Modify en la columna Operation.
  6. En el cuadro de diálogo que se muestra, modifique la política de seguridad personalizada como se describe en Tabla 3.
  7. Haga clic en OK.

Eliminación de una política de seguridad personalizada

Puede eliminar una política de seguridad personalizada según lo necesite.

  1. Inicie sesión en la consola de gestión.
  2. En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
  3. Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
  4. En el panel de navegación de la izquierda, elija TLS Security Policies.
  5. En la página TLS Security Policies, haga clic en Custom Security Policies, busque la política de seguridad personalizada y haga clic en Delete en la columna Operation.
  6. Haga clic en Yes.

Cambio de una política de seguridad

Cuando cambie una política de seguridad, asegúrese de que el grupo de seguridad que contiene servidores backend permita el tráfico de 100.125.0.0/16 a servidores backend y permita paquetes ICMP para comprobaciones de estado UDP. De lo contrario, los servidores backend se considerarán no saludables y el enrutamiento se verá afectado.

  1. Inicie sesión en la consola de gestión.
  2. En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
  3. Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
  4. Busque el balanceador de carga y haga clic en su nombre.
  5. Haga clic en Listeners, busque el oyente y haga clic en su nombre.
  6. En la página de ficha Summary, haga clic en Edit en la parte superior derecha.
  7. En el cuadro de diálogo Modify Listener, expanda Advanced Settings y cambie la política de seguridad.
  8. Haga clic en OK.