[OCI]Oracle Cloud Infrastructure Load Balancing Serviceのカスタマイズされたトランスポート層のセキュリティ(TLS)バージョンと暗号を発表 (2020/09/01)
Oracle Cloud Infrastructure Load Balancing Serviceのカスタマイズされたトランスポート層のセキュリティ(TLS)バージョンと暗号を発表 (2020/09/01)
https://blogs.oracle.com/cloud-infrastructure/announcing-customized-transport-layer-security-versions-and-ciphers-in-oracle-cloud-infrastructure-load-balancing-service
投稿者:Ajay Chhabria | Sr. Solution Architect
Oracle Cloud Infrastructure Load Balancingサービスで、
Transport Layer Security(TLS)暗号スイートTLS 1.0、TLS 1.1、およびTLS 1.2の
カスタム暗号選択を指定できるようになったことをお知らせします。
Oracle Cloud Load Balancing サービスは、デフォルトで TLS 1.2 をサポートしています。
状況によっては、このバージョンでは不十分な場合もあります。
有効になっているSSL(Secure Sockets Layer)暗号は、アプリケーションの種類やビジネス要件によって異なることを理解しておくことが重要です。
組織の中には、TLS のバージョンを拡大し、要件に応じて異なるバージョンを許可したいと考えているものがあります。
アプリケーションによっては、次世代またはレガシーなアプリケーションの要件を満たすために、
HTTPS または TLS 接続に使用する TLS のバージョンと暗号をより細かく制御する必要があります。
Oracle Cloud のロードバランサーは複数の暗号化スイートをサポートしており、それらのセキュリティ要件を満たす接続を強制することができます。
この記事では、TLSポリシーを制御する方法について説明し、
導入を成功させるためのOracle Cloud Infrastructure Load Balancingサービスの構成詳細について説明します。
背景
TLSはインターネット上で広く使われているプロトコルです。
その暗号化プロトコルは、ロードバランサーに接続するクライアントなど、異なるエンドポイント間で認証とデータの暗号化を提供します。
暗号スイートには、RSA、DHE、ECDHEなどの鍵交換アルゴリズム、3DES、RC4、AESの変種などの暗号化アルゴリズム、
MD5やSHAの変種などの認証アルゴリズムがあります。
Oracle Cloud Load Balancingサービスは複数の暗号スイートをサポートしており、セキュリティ要件を満たすスイートを使用できます。
指定した暗号スイートを満たしていないハンドシェイクを許可するか拒否するかを選択できます。
ソリューション
ロードバランサー上では、さまざまな暗号化方式やオプションを設定することができます。
ロードバランサー上では、以下の方法でTLSのバージョンや暗号を設定することができます。
- 事前に定義されたテンプレート。
一般的なTLSのバージョンと暗号の設定用に事前に定義済みのテンプレート。
Oracle Cloud の事前定義済みプロトコルポリシーは、使用するポリシーとしては最もシンプルなものであることが多いです。 - カスタム テンプレート。ユーザー定義のカスタムポリシーと暗号設定の定義を許可します。
定義済みテンプレート
事前に定義されたテンプレートには、以下のような事前に設定されたプロファイルが含まれています。
- 互換性があります。SSL機能の最も広範なセットをサポートするクライアントを含む、より大きなクライアントのセットを許可し、ロードバランサーとSSLをネゴシエートします。
- デフォルト: SSL 機能のセットを減らしてサポートします。デフォルト: より厳しいコンプライアンス要件を満たすために、 SSL機能のセットを減らしたものをサポートします。
- モダン: SSL 機能の幅広いセットをサポートし、モダンなクライアントが SSL をネゴシエートできるようにします。
- より広い互換性を持ちます。サポートされているすべての暗号を含みます。
定義済みテンプレートを使用したスイートの一覧を示す Cipher Suites ページのスクリーンショット。
カスタムテンプレート
独自の暗号の選択肢を指定する場合は、[暗号スイートを作成] をクリックします。
このオプションは、特定の暗号や TLS のバージョンレベルを有効または無効にする必要がある
情報セキュリティポリシーに準拠しなければならない場合に役立ちます。
要件に適合する暗号のみをリストアップしたカスタムポリシーを簡単に書くことができます。
リスナーに関するアソシエーション
以下の例では、管理者は TLS のバージョンと暗号スイートをリスナーに明示的に関連付ける必要があります。
カスタムTLSの検証
SSL LabsのSSLサーバーテストページのフォームにロードバランサーのURLを入力することで、
ロードバランサーが選択した必要な暗号を使用しているかどうかを確認することができます。
SSLスキャン
ロードバランサーの設定のセキュリティを個人的にテストしたい場合は、
sslscan のようなオープンソースの コマンドラインツールを使うことができます。
次のサンプル出力は sslscan ツールの出力の一部を示しています。
受け入れられた接続、失敗した接続、拒否された接続のいずれかが表示されています。
詳細については、sslscan のドキュメントを参照してください。
sslscanツールの出力サンプルのスクリーンショットで、受諾された接続が赤丸で囲われています。
まとめ
この記事では、最小限の設定で簡単な手順でカスタム版TLS暗号を設定する様々な方法を紹介しています。
Oracle Cloud Infrastructure Load Balancingサービス上でカスタムバージョンのTLSを設定してテストするブログをお読みいただけたでしょうか。
これで、Oracle Cloud Infrastructure上でWebサイトを設計する際に、この機能を利用してTLS暗号スイートをスマートに選択できるようになりました。
ロードバランサー機能の詳細については、「暗号スイートの管理」を参照してください。
コメント
コメントを投稿