为NLB配置TCPSSL监听时,TLS安全策略决定了NLB与客户端进行TLS协商时支持的TLS协议版本和加密算法套件。NLB预置了部分常用的系统默认策略供用户直接选择。对于有定制安全策略的特定需求场景,可以使用自定义TLS安全策略。
工作原理
TLS安全策略配置在NLB侧,用于定义其在TLS协商中支持的TLS协议版本和加密算法套件。在握手过程中,客户端通过Client Hello发送支持的协议版本和加密套件列表,NLB根据策略从列表中选择双方都支持的协议版本和加密套件组合并以Server Hello响应,后续步骤(如密钥交换、会话密钥生成)均基于此方案进行。
系统默认策略
对于面向公网且无特殊兼容性要求的应用,建议使用 tls_cipher_policy_1_2 及以上策略。
控制台
前往NLB控制台的TLS安全策略页面,在系统默认策略页签查看策略的详细信息。
API
调用ListSystemSecurityPolicy接口查询系统默认策略。
自定义策略
创建自定义策略
控制台
前往NLB控制台的TLS安全策略页面,选择NLB实例所在地域。
单击创建自定义策略,参考以下信息进行配置,配置完成后单击创建。
选择最低版本:如业务无特殊兼容性要求,建议选择TLS 1.2及以上保障安全性。
启用TLS 1.3版本:为保障网络通信的安全性与效率,建议在业务兼容的前提下启用。
选择加密算法套件:需要与TLS协议版本匹配。
创建完成后,即可在为监听配置TLS安全策略中选择该自定义策略。
API
调用CreateSecurityPolicy创建自定义策略。注意自定义策略的地域必须与NLB实例的地域保持一致。
更新自定义策略属性
控制台
前往NLB控制台的TLS安全策略页面,选择自定义策略的地域。
找到目标自定义策略,单击操作列的编辑,在编辑TLS安全策略对话框更新TLS协议版本或加密算法套件。
API
调用UpdateSecurityPolicyAttribute更新自定义策略属性。
复制自定义策略到其他地域
控制台
前往NLB控制台的TLS安全策略页面,选择自定义策略的地域。
找到目标自定义策略,单击操作列的复制到其他地域,选择目标地域并确定。
API
调用ListSecurityPolicy获取自定义策略的TlsVersion和Ciphers等参数,在调用CreateSecurityPolicy创建自定义策略时传入,注意RegionId字段传入目标地域ID。
删除自定义策略
若自定义策略已被监听使用,请先修改监听的TLS安全策略或删除监听,方可删除自定义策略。
控制台
前往NLB控制台的TLS安全策略页面,选择自定义策略的地域。
找到目标自定义策略,单击操作列的删除并确定。
API
调用DeleteSecurityPolicy删除自定义策略。
为监听配置TLS安全策略
控制台
创建TCPSSL监听时,在配置SSL证书页签选择TLS安全策略;快速创建TCPSSL监听时,在快速创建监听对话框中选择TLS安全策略。
修改TLS安全策略:在实例详情页的监听页签,单击目标TCPSSL监听ID进入监听详情页,在SSL证书区域修改TLS安全策略。
API
调用CreateListener创建TCPSSL监听或调用UpdateListenerAttribute更新TCPSSL监听配置时,SecurityPolicyId字段传入TLS安全策略。
可调用ListSystemSecurityPolicy查询系统默认策略的
SecurityPolicyId。可调用ListSecurityPolicy查询自定义策略的
SecurityPolicyId。
计费说明
TLS安全策略本身不产生任何费用。购买和使用NLB实例将产生费用,详见NLB计费规则。
应用于生产环境
后端流量安全:客户端与NLB之间流量进行TCPSSL加密,但NLB与后端服务器之间的流量默认是明文的。为确保端到端安全,应将NLB和后端服务器部署在同一 VPC 内,并通过安全组等策略严格限制访问。
TLS协议版本:如应用无特殊兼容性要求,建议使用TLS 1.2和TLS 1.3保障安全性。
变更回滚:调整TLS安全策略后,若出现异常,可立即通过修改监听配置回滚。建议在业务低峰期进行变更。