このトピックでは、Application Load Balancer (ALB) のカスタムTLSセキュリティポリシーを設定する方法について説明します。 ほとんどの場合、Alibaba CloudにデプロイされたWebサイトまたはアプリケーションは、HTTPSを使用してデータ送信を暗号化します。 ALBは、HTTPSを使用するサービスのセキュリティを強化するために、一般的に使用されるTLSセキュリティポリシーを提供します。 ALBでは、カスタムTLSセキュリティポリシーを設定することもできます。 たとえば、使用するTLSバージョンを指定したり、特定のTLS暗号スイートを無効にしたりできます。
システムTLSセキュリティポリシー
システムTLSセキュリティポリシー
TLSセキュリティポリシーは、TLSバージョンと暗号スイートで構成されます。 新しいバージョンは、より高い保護をサポートしますが、ブラウザとの互換性は低くなります。
セキュリティポリシー | サポートされているTLSバージョン | サポートされる暗号スイート |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
システムTLSセキュリティポリシーの違い
次の表では、チェックマーク (✔() は、暗号スイートがTLSバージョンでサポートされていることを示します。 ハイフン (-) は、暗号スイートがTLSバージョンでサポートされていないことを示します。
セキュリティポリシー | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ | |
カスタムTLSセキュリティポリシー
該当するシナリオ
ALBは、サービスのセキュリティを強化するために一般的に使用されるTLSセキュリティポリシーを提供します。 ALBでは、カスタムTLSセキュリティポリシーを設定することもできます。 たとえば、使用するTLSバージョンを指定したり、特定のTLS暗号スイートを無効にしたりできます。
手順
カスタムTLSセキュリティポリシーを作成するには、次の手順を実行します。
ALB コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
[TLSセキュリティポリシー] ページで、[カスタムポリシー] タブの [カスタムポリシーの作成] をクリックします。
[TLSセキュリティポリシーの作成] ダイアログボックスで、パラメーターを設定します。 次の表に、このトピックに関連するパラメーターのみを示します。 ビジネス要件に基づいて他のパラメーターを設定するか、デフォルト値を使用できます。 上記のパラメーターを設定した後、[作成] をクリックします。
パラメーター
説明
名前
TLSセキュリティポリシーの名前を入力します。
最小バージョン
作成するTLSセキュリティポリシーのバージョンを選択します。
TLS 1.0またはそれ以降
TLS 1.1またはそれ以降
TLS 1.2またはそれ以降
TLS 1.3の有効化
TLS 1.3を有効にするかどうかを選択します。
重要TLS 1.3を有効にするには、TLS 1.3でサポートされている暗号スイートを選択する必要があります。 サポートされている暗号スイートを選択しないと、システムが接続を作成できない場合があります。
暗号スイート
指定されたTLSバージョンでサポートされている暗号スイートを選択します。
カスタムTLSセキュリティポリシーを作成した後、HTTPSリスナーとSSL証明書を作成する必要があります。 詳細については、「HTTPSリスナーの追加」をご参照ください。
関連ドキュメント
ALBのHTTPSリスナーを設定する方法の詳細については、「HTTPSリスナーの追加」をご参照ください。
カスタムTLSセキュリティポリシーを使用してセキュリティを強化する方法の詳細については、「カスタムTLSセキュリティポリシーを使用してWebサイトのセキュリティを向上させる」をご参照ください。
さまざまなシナリオでHTTPSを設定する方法の詳細については、「データ転送用にエンドツーエンドのHTTPS暗号化を設定する」、「HTTPS経由で複数のドメイン名を提供するようにALBインスタンスを設定する」、「HTTPSリスナーで相互認証を設定する」、「HTTPリクエストをHTTPSリスナーにリダイレクトする」をご参照ください。