こんにちは
Macです。
本日は、AWSのALBを調べることがありましたので、まとめていきます。
本日の議題はこちら。
Application Load Balancer 対応しているプロトコルは何?
最近、ALBを使う機会がありました。
そういえば、ALBにSSL証明書を入れるけど、
暗号化プロトコルって何が対応してるのかな?と思い調べました。
暗号化通信のプロトコルといえば、SSLやTLSがありますよね!
暗号化通信って何?
このセッションは、IT用語辞典に丸投げします(笑)
SSLって何?TLSって何?って方は、参考サイトを記載しておくので、見てください
SSLとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
TLSとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
ここ最近は、常時SSLが推奨されていたり、
暗号化されていないHPは、警告が出たりしていますね。
ALBが対応している暗号化プロトコル
AWS公式ドキュメントによると、以下でした。
Application Load Balancer 用の HTTPS リスナーを作成する
- ELBSecurityPolicy-2016-08 (デフォルト)
デフォルト設定のセキュリティポリシーは、以下が有効です。
TLS1.0 / TLS1.1 / TLS1.2
SSL3.0以前のプロトコルは含まれていません。
また、最新のTLS1.3は未対応です。
なお、TLS1.0 / 1.1については、すでに脆弱性が指摘されています。
可能であれば、TLS1.2のみにしておくのがベターです。
(IPAでも、TLS1.2のみ有効化を推奨しています。)
※端末側でTLS1.2に対応していないブラウザなどがある場合は、
ページが開けなくリスクもありますので、ご注意ください。
参考:
TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~
TLS暗号設定ガイドライン チェックリスト(PDF形式 620KB)- IPA
ALBのセキュリティポリシーについて
ALBに紐づけられる、セキュリティポリシーは、以下があります。
ELBSecurityPolicy-2016-08(デフォルト)ELBSecurityPolicy-TLS-1-0-2015-04ELBSecurityPolicy-TLS-1-1-2017-01ELBSecurityPolicy-TLS-1-2-2017-01ELBSecurityPolicy-TLS-1-2-Ext-2018-06ELBSecurityPolicy-FS-2018-06ELBSecurityPolicy-FS-1-1-2019-08ELBSecurityPolicy-FS-1-2-2019-08ELBSecurityPolicy-FS-1-2-Res-2019-08ELBSecurityPolicy-2015-05ELBSecurityPolicy-2016-08ELBSecurityPolicy-FS-1-2-Res-2020-10
設定する場合は、上記の物から選ぶ必要があります。
自分でカスタマイズで作成することはできません。
この点は、基本的にAWSが管理しているものを利用することになります。
必要なものが含まれているものを利用しましょう。
まとめ
- ALBのデフォルト セキュリティポリシーは、SSL3.0 / TLS1.3は非対応
- デフォルトポリシーは、TLS1.0 / 1.1 / 1.2が有効化されている
- TLS1.0 / TLS1.1 は、脆弱性が存在している。
- IPAは、TLS1.2のみ有効化することを推奨している。
上記のことから、可能な限り、TLS1.2のみ有効化するようにしましょう!
今日は、ALBが対応している 暗号化プロトコルについてでした。
では、また次の記事でお会いしましょう!