はじめに
ALBのセキュリティポリシーを選択する際に、どれを選択すべきか迷われた経験はないでしょうか。
そんな方に今回の記事を一読頂き、解決の一助になればと思います。
セキュリティーポリシーの選択基準
結論から言えば、ALBのセキュリティポリシーは以下の2つの要件を満たし、且つもっとも、暗号化強度の高いポリシーを選択したいところです。
- 対応端末や対応ブラウザ要件
- セキュリティ要件(暗号化要件)
少し具体例を挙げながら説明していくと
- 対応端末や対応ブラウザ要件
mozillaでIntermediateとされているブラウザバージョンまで対応する
※実際は端末・ブラウザシェア率等から要件決めされることが多いと思いますがあくまで例として
Security/Server Side TLS - MozillaWiki
- セキュリティ要件(暗号化要件)
IPAのTLS暗号化設定ガイドラインの「推奨セキュリティ型」に準拠する
TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構
この例の場合であれば「ELBSecurityPolicy-FS-1-2-Res-2019-08」を選択すれば要件を満たしつつ暗号化強度の高いポリシーを選択していくことができます。
Mozilla SSL Configuration Generator
※Configuration Generator便利!
まとめ
いかがでしたでしょうか、セキュリティポリシーひとつの決めるのにも、そこそこ考えることがありますね。
今まであまり意識せずに設定をしてきた人へ、本記事が見直すきっかけになれば幸いです。
そしてAWSデフォルト「ELBSecurityPolicy-2016-08」はセキュリティ面ではTLS暗号設定ガイドライン(IPA)のような基準に準拠していないので、安易に選ばないことをオススメします。
参考資料
Application Load Balancer 用の HTTPS リスナーを作成する - Elastic Load Balancing