ALB的TLS安全性原則怎麼配置 - Server Load Balancer

使用者在阿里雲上部署的網站或應用程式對互連網提供服務時，通常會配置HTTPS加密以確保資料的安全傳輸。針對HTTPS情境，ALB預置了部分常用的TLS安全性原則以滿足加密需求，您可根據您的安全需求選擇合適的TLS安全性原則，或者配置自訂TLS安全性原則，從而保證您業務的安全性。

系統預設策略

系統預設策略有哪些

TLS安全性原則包含了可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高，加密通訊的安全性越高，但是相較於低版本TLS協議，高版本TLS協議對瀏覽器的相容性較差。

安全性原則	支援的TLS協議版本	支援的密碼編譯演算法套件
tls_cipher_policy_1_0	TLSv1.0 TLSv1.1 TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA
tls_cipher_policy_1_1	TLSv1.1 TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA
tls_cipher_policy_1_2	TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA AES128-SHA AES256-SHA DES-CBC3-SHA
tls_cipher_policy_1_2_strict	TLSv1.2	ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA
tls_cipher_policy_1_2_strict_with_1_3	TLSv1.2 TLSv1.3	TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA

系統預設策略差異對比

下表中，✔表示支援，-表示不支援。

安全性原則		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
TLS	v1.0	✔	-	-	-	-
	v1.1	✔	✔	-	-	-
	v1.2	✔	✔	✔	✔	✔
	v1.3	-	-	-	-	✔
CIPHER	ECDHE-ECDSA-AES128-GCM-SHA256	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES256-GCM-SHA384	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES128-SHA256	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES256-SHA384	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-GCM-SHA256	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-GCM-SHA384	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-SHA256	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-SHA384	✔	✔	✔	✔	✔
	AES128-GCM-SHA256	✔	✔	✔	-	-
	AES256-GCM-SHA384	✔	✔	✔	-	-
	AES128-SHA256	✔	✔	✔	-	-
	AES256-SHA256	✔	✔	✔	-	-
	ECDHE-ECDSA-AES128-SHA	✔	✔	✔	✔	✔
	ECDHE-ECDSA-AES256-SHA	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-SHA	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-SHA	✔	✔	✔	✔	✔
	AES128-SHA	✔	✔	✔	-	-
	AES256-SHA	✔	✔	✔	-	-
	DES-CBC3-SHA	✔	✔	✔	-	-
	TLS_AES_128_GCM_SHA256	-	-	-	-	✔
	TLS_AES_256_GCM_SHA384	-	-	-	-	✔
	TLS_CHACHA20_POLY1305_SHA256	-	-	-	-	✔
	TLS_AES_128_CCM_SHA256	-	-	-	-	✔
	TLS_AES_128_CCM_8_SHA256	-	-	-	-	✔

自訂策略

什麼時候使用自訂策略

ALB預置了部分常用的TLS安全性原則以滿足通用需求，但當您有特定的安全或合規需求時，例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等，您可在ALB中自訂TLS安全性原則並配置到監聽中，從而進一步提升業務的安全性。

如何配置自訂策略

完成以下操作，建立自訂策略。

登入應用型負載平衡ALB控制台。
在左側導覽列，選擇應用型負載均衡ALB > TLS安全性原則。
在TLS安全性原則頁面，單擊自訂策略頁簽下的建立自訂策略。

在建立TLS安全性原則對話方塊中，完成以下參數配置（本文僅給出強相關配置參數資訊，其他參數可保持預設值或根據實際情況修改）。配置完成後單擊建立。

配置	說明
名稱	輸入自訂策略名稱稱。
選擇最低版本	選擇最低TLS安全性原則版本： TLS 1.0及以上 TLS 1.1及以上 TLS 1.2及以上
啟用TLS 1.3版本	選擇是否啟用TLS 1.3版本。重要如果啟用TLS 1.3版本，請至少選擇一個TLS 1.3的密碼編譯演算法套件，否則可能無法成功建立串連。
選擇密碼編譯演算法套件	選擇TLS版本支援的密碼編譯演算法套件。

自訂策略建立完成後，需要在建立HTTPS監聽時的配置SSL認證步驟使用，具體細節可參考添加HTTPS監聽。

Server Load Balancer：TLS安全性原則