すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:TLSセキュリティポリシー

最終更新日:Sep 20, 2024

レイヤ4ロードバランサーを使用し、SSL暗号化を使用してセキュリティを強化する場合は、各バックエンドサーバーでSSL証明書を設定できます。 しかし、この方法は非効率的である。 この場合、Network Load Balancer (NLB) のSSLオフロード機能を使用できます。 NLBインスタンスをingressとしてデプロイして、ネットワークトラフィックを分散し、SSL証明書を設定できます。 このようにして、NLBインスタンスは暗号化されたトラフィックを平文トラフィックに復号化し、平文トラフィックをバックエンドサーバーに配信します。 これにより、バックエンドサービスの作業効率が向上し、バックエンドサーバーの構成が簡素化され、セキュリティが確保されます。 TCPトラフィックのSSLオフロードが必要なシナリオの場合、NLBはサービスのセキュリティを強化するために一般的に使用されるTLSセキュリティポリシーを提供します。 システムTLSセキュリティポリシーを選択するか、カスタムTLSセキュリティポリシーを設定してサービスを保護できます。

システムTLSセキュリティポリシー

システムTLSセキュリティポリシー

TLSセキュリティポリシーは、TLSバージョンと暗号スイートで構成されます。 新しいバージョンは、より高い保護をサポートしますが、ブラウザとの互換性は低くなります。

セキュリティポリシー

サポートされているTLSバージョン

サポートされる暗号スイート

tls_cipher_policy_1_0

  • TLSv1.0

  • TLSv1.1

  • TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_1

  • TLSv1.1

  • TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_2

TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_2_strict

TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

tls_cipher_policy_1_2_strict_with_1_3

  • TLSv1.2

  • TLSv1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

  • TLS_AES_128_CCM_SHA256

  • TLS_AES_128_CCM_8_SHA256

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

システムTLSセキュリティポリシーの違い

次の表では、チェックマーク (✔() は、暗号スイートがTLSバージョンでサポートされていることを示します。 ハイフン (-) は、暗号スイートがTLSバージョンでサポートされていないことを示します。

セキュリティポリシー

tls_cipher_policy_1_0

tls_cipher_policy_1_1

tls_cipher_policy_1_2

tls_cipher_policy_1_2_strict

tls_cipher_policy_1_2_strict_with_1_3

TLS

v1.0

-

-

-

-

v1.1

-

-

-

v1.2

v1.3

-

-

-

-

CIPHER

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

-

-

AES256-GCM-SHA384

-

-

AES128-SHA256

-

-

AES256-SHA256

-

-

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-RSA-AES256-SHA

AES128-SHA

-

-

AES256-SHA

-

-

DES-CBC3-SHA

-

-

TLS_AES_128_GCM_SHA256

-

-

-

-

TLS_AES_256_GCM_SHA384

-

-

-

-

TLS_CHACHA20_POLY1305_SHA256

-

-

-

-

TLS_AES_128_CCM_SHA256

-

-

-

-

TLS_AES_128_CCM_8_SHA256

-

-

-

-

カスタムTLSセキュリティポリシー

該当するシナリオ

NLBは、サービスのセキュリティを強化するために一般的に使用されるTLSセキュリティポリシーを提供します。 NLBでは、カスタムTLSセキュリティポリシーを設定することもできます。 たとえば、使用するTLSバージョンを指定したり、特定のTLS暗号スイートを無効にしたりできます。

手順

カスタムTLSセキュリティポリシーを作成するには、次の手順を実行します。

  1. NLBコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、NLB > TLS セキュリティポリシー を選択します。

  3. [TLSセキュリティポリシー] ページで、[カスタムポリシー] タブの [カスタムポリシーの作成] をクリックします。

  4. [TLSセキュリティポリシーの作成] ダイアログボックスで、パラメーターを設定します。 次の表に、このトピックに関連するパラメーターのみを示します。 ビジネス要件に基づいて他のパラメーターを設定するか、デフォルト値を使用できます。 上記のパラメーターを設定した後、[作成] をクリックします。

    パラメーター

    説明

    名前

    TLSセキュリティポリシーの名前を入力します。

    最小バージョン

    作成するTLSセキュリティポリシーのバージョンを選択します。

    • TLS 1.0またはそれ以降

    • TLS 1.1またはそれ以降

    • TLS 1.2またはそれ以降

    TLS 1.3の有効化

    TLS 1.3を有効にするかどうかを選択します。

    重要

    TLS 1.3を有効にするには、TLS 1.3でサポートされている暗号スイートを選択する必要があります。 サポートされている暗号スイートを選択しないと、システムが接続を作成できない場合があります。

    暗号スイート

    指定されたTLSバージョンでサポートされている暗号スイートを選択します。

  5. カスタムTLSセキュリティポリシーを作成した後、SSL over TCPを使用するリスナーとSSL証明書を作成する必要があります。 詳細については、「TCP経由でSSLを使用するリスナーの追加」をご参照ください。

関連ドキュメント