目次
このページのトピック
安全でないSSL / TLSプロトコル
安全ではないプロトコルや非推奨のプロトコルを使用すると、SSLv2プロトコルのOpenSSL実装の特定の弱点を標的とするDROWN(廃止された脆弱なeNcryptionを使用したRSAの復号)やPOODLE(ダウングレードされたレガシー暗号のパディング)などの攻撃に対して脆弱になります。この脆弱性により、攻撃者は中間者攻撃または盗聴攻撃を使用して、SSLv3プロトコルで暗号化された情報をプレーンテキストで読み取ることができます。
Protocol-SSLv2、Protocol-SSLv3、Protocol-TLSv1を使用する場合は、これらのプロトコルをアップデートすることを強くお勧めします。
注意: ELBSecurityPolicy-2016-08の事前定義されたセキュリティポリシーには、安全でないと見なされるProtocol-TLSv1が含まれます。
ルールID:NS-SSL-001
リスクレベル:高(リスクは許容できない)
SSLv2、SSLv3、およびTLSv1.0のセキュアでない/非推奨のSSLプロトコルに対するSSL(Secure Sockets Layer)ネゴシエーション設定から保護します。
これは、次のコンプライアンス基準に役立ちます。
このルールは、AWS、 Network Security、および Cloud One - Conformityをシームレスに統合するための AWS Well-Architected Framework の作成に役立ちます。

SSL / TLSプロトコル接続の監査

古いSSL / TLSプロトコル接続をブロックしているかどうかを確認するには、次の操作を実行します。

  1. Network Security 管理インタフェースのナビゲーションパネルで、[Policy]アイコン をクリックします。
  2. Intrusion Prevention Filteringを選択します。
  3. 次のフィルタを検索して、有効になっていることを確認します。有効になっていないポリシーがある場合は、以下の手順に従ってSSL / TLS保護を有効にします。
    • SSLv2 =フィルタ3892
    • SSLv3 =フィルタ13895
    • TLS 1.0 = filter 13896
    • TLS 1.1 = filter 13897
    • TLS 1.2または1.3 = filter 13898
    • TLS 1.3 = filter 13899

SSL / TLSプロトコル接続保護を有効にする

古いSSL / TLSプロトコル接続をブロックするには、次の処理を実行します。

  1. Network Security 管理インタフェースのナビゲーションパネルで、[Policy]アイコン をクリックします。
  2. Intrusion Prevention Filteringを選択します。
  3. 次のフィルタを検索し、それぞれを有効にします。
    • SSLv2 =フィルタ3892
    • SSLv3 =フィルタ13895
    • TLS 1.0 = filter 13896
    • TLS 1.1 = filter 13897
    • TLS 1.2または1.3 = filter 13898
    • TLS 1.3 = filter 13899