説明
安全でない非推奨のプロトコルを使用すると、DROWN (Obsolete and Weakened eNcryptionを使用したRSAの復号化) やPOODLE (Padding Oracle On Downgraded Legacy Encryption) などの攻撃に対して接続が脆弱になります。これらの攻撃は、SSLv2プロトコルのOpenSSL実装における特定の弱点を狙ったものです。この脆弱性により、攻撃者はSSLv3プロトコルで暗号化された情報を平文で読み取ることができ、人の中間者攻撃や盗聴攻撃を利用します。
修復
プロトコル-SSLv2および/またはプロトコル-SSLv3および/またはプロトコル-TLSv1を使用している場合 (PCI評議会はTLS1.0を無効にすることを推奨しています)、これらのプロトコルを更新することを強くお勧めします。
注意
注意
ELBSecurityPolicy-2016-08の事前定義されたセキュリティポリシーには、セキュアでないと見なされるProtocol-TLSv1が含まれています。
ルールID
NS-SSL-001
危険度
高 (許容できないリスク)
ルールの説明
SSLv2、SSLv3、およびTLSv1.0の安全でない/非推奨のSSLプロトコルに対するSSLネゴシエーション構成から保護します。
これは次のコンプライアンス基準に役立ちます:
このRuleは、AWS、Network Security、およびTrend Micro Cloud One - Conformityのシームレスな統合のためのAWS Well-Architected Frameworkを形成するのに役立ちます。

SSL/TLSプロトコル接続を監査

古いSSL/TLSプロトコル接続をブロックしているかどうかを確認するには、次の操作を実行してください:
  1. Network Security管理インターフェースから、ナビゲーションバーのPolicyアイコンpolicies=ff596731-bea4-4606-8d29-f24182765cb4.pngをクリックします。
  2. [Intrusion Prevention Filtering]を選択してください。
  3. 以下のフィルターが有効になっていることを確認してください。いずれかが有効になっていない場合は、以下の手順に従ってSSL/TLS保護を有効にしてください。
    • SSLv2 = フィルター3892
    • SSLv3 = フィルター 13895
    • TLS 1.0 = フィルター 13896
    • TLS 1.1 = フィルター 13897
    • TLS 1.2 または 1.3 = フィルター 13898
    • TLS 1.3 = フィルター 13899

SSL/TLSプロトコル接続保護を有効にする

古いSSL/TLSプロトコル接続をブロックするには、次の操作を実行してください:
  1. Network Security管理インターフェースから、ナビゲーションバーのPolicyアイコンpolicies=ff596731-bea4-4606-8d29-f24182765cb4.pngをクリックします。
  2. [Intrusion Prevention Filtering]を選択してください。
  3. 次のフィルターを検索し、それぞれを有効にしてください。
    • SSLv2 = フィルター3892
    • SSLv3 = フィルター 13895
    • TLS 1.0 = フィルター 13896
    • TLS 1.1 = フィルター 13897
    • TLS 1.2 または 1.3 = フィルター 13898
    • TLS 1.3 = フィルター 13899