レイヤ4ロードバランサーを使用し、SSL暗号化を使用してセキュリティを強化する場合は、各バックエンドサーバーでSSL証明書を設定できます。 しかし、この方法は非効率的である。 この場合、Network Load Balancer (NLB) のSSLオフロード機能を使用できます。 NLBインスタンスをingressとしてデプロイして、ネットワークトラフィックを分散し、SSL証明書を設定できます。 このようにして、NLBインスタンスは暗号化されたトラフィックを平文トラフィックに復号化し、平文トラフィックをバックエンドサーバーに配信します。 これにより、バックエンドサービスの作業効率が向上し、バックエンドサーバーの構成が簡素化され、セキュリティが確保されます。 TCPトラフィックのSSLオフロードが必要なシナリオの場合、NLBはサービスのセキュリティを強化するために一般的に使用されるTLSセキュリティポリシーを提供します。 システムTLSセキュリティポリシーを選択するか、カスタムTLSセキュリティポリシーを設定してサービスを保護できます。
システムTLSセキュリティポリシー
システムTLSセキュリティポリシー
TLSセキュリティポリシーは、TLSバージョンと暗号スイートで構成されます。 新しいバージョンは、より高い保護をサポートしますが、ブラウザとの互換性は低くなります。
セキュリティポリシー | サポートされているTLSバージョン | サポートされる暗号スイート |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
システムTLSセキュリティポリシーの違い
次の表では、チェックマーク (✔() は、暗号スイートがTLSバージョンでサポートされていることを示します。 ハイフン (-) は、暗号スイートがTLSバージョンでサポートされていないことを示します。
セキュリティポリシー | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ | |
カスタムTLSセキュリティポリシー
該当するシナリオ
NLBは、サービスのセキュリティを強化するために一般的に使用されるTLSセキュリティポリシーを提供します。 NLBでは、カスタムTLSセキュリティポリシーを設定することもできます。 たとえば、使用するTLSバージョンを指定したり、特定のTLS暗号スイートを無効にしたりできます。
手順
カスタムTLSセキュリティポリシーを作成するには、次の手順を実行します。
NLBコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[TLSセキュリティポリシー] ページで、[カスタムポリシー] タブの [カスタムポリシーの作成] をクリックします。
[TLSセキュリティポリシーの作成] ダイアログボックスで、次のパラメーターを設定し、他のパラメーターにデフォルト値を使用するか、ビジネスニーズに基づいてカスタマイズしてから、[作成] をクリックします。
パラメーター
説明
最小バージョン
作成するTLSセキュリティポリシーのバージョンを選択します。
TLS 1.0またはそれ以降
TLS 1.1またはそれ以降
TLS 1.2またはそれ以降
TLS 1.3の有効化
TLS 1.3を有効にするかどうかを選択します。
重要TLS 1.3を有効にするには、TLS 1.3でサポートされている暗号スイートを選択する必要があります。 サポートされている暗号スイートを選択しないと、システムが接続を作成できない場合があります。
暗号スイート
指定されたTLSバージョンでサポートされている暗号スイートを選択します。
カスタムTLSセキュリティポリシーを作成した後、SSL over TCPを使用するリスナーとSSL証明書を作成する必要があります。 詳細については、「TCP経由でSSLを使用するリスナーの追加」をご参照ください。
関連ドキュメント
TCP/SSLリスナーの設定方法の詳細については、「TCP/SSLリスナーの追加」をご参照ください。
さまざまなシナリオでのTCP/SSLリスナーの設定の詳細については、「NLBを使用してTCP経由のSSLオフロードを有効にする (一方向認証) 」および「NLBを使用してTCP経由のSSLオフロードを有効にする (相互認証) 」をご参照ください。