适用于网络负载均衡器的 TLS 终止

当您使用 HTTPS 协议访问网站时，将会发生一系列奇妙的事情（正式名称为 SSL/TLS 握手）以创建和保持安全的通信通道。客户端（浏览器）和 Web 服务器会共同协商出一致的加密方法、交换密钥并设置会话密钥。会话建立后，对话两端都将使用会话密钥对所有后续流量进行加密和解密。由于会话密钥对客户端和服务器之间的对话而言是唯一的，第三方无法对流量进行解密，也无法干扰对话。

新的 TLS 终止功能

今天我们进一步简化了构建安全 Web 应用程序的过程，让您可以在网络负载均衡器上终止 TLS（传输层安全）连接（您可以将 TLS 想象为提供 HTTPS 中的“S”）。这样您的后端服务器将无需执行需要耗费大量计算资源的流量加密和解密任务，同时又提供了多种其他功能和优势：

源 IP 保护 — 即使 TLS 在 NLB 处终止，仍可将源 IP 地址和端口呈现给后端服务器。就像我同事 Colm 所说，这根本“太神奇了！”

简化管理 — 大规模使用 TLS 意味着您需要承担向每个后端服务器发布服务器证书的责任。这产生了超额的管理工作（有时会涉及一系列的代理服务器），同时由于存在多个证书副本，也增加了您的受攻击面。今天的发布消除了所有这些复杂性，让您可以集中管理证书。如果您使用 AWS Certificate Manager (ACM)，您的证书将会得到安全存储，定期失效和轮换，并自动更新，所有这些操作都无需您动手。

实时安装补丁 — TLS 协议十分复杂，其实施也需要不时更新以应对新出现的威胁。在 NLB 处终止连接可帮助您后端服务器，让我们针对这些威胁更新您的 NLB。我们使用 s2n 协议，这是我们以安全性为中心并经正式验证 的 TLS/SSL 协议实现。

提高合规性 — 您可以使用内置的安全策略以指定可您的应用程序可接受的加密套件和协议版本。这将对您的 PCI 和 FedRAMP 合规工作提供极大的帮助，同时也有利于您获得理想的 TLS 得分。

Classic 升级 如果您目前使用 Classic Load Balancer 作为 TLS 终止点，切换到网络负载均衡器可让您更快速地扩展，从而满足负载增加的需求。此外，您还可以将静态 IP 地址用于 NLB，记录请求的源 IP 地址日志。

访问日志 — 您现在可以启用网络负载均衡器的访问日志功能，将它们指向您选择的 S3 存储桶。日志条目包含有关 TLS 协议版本、加密套件、连接时间、握手时间等方面的详细信息。

TLS 终止功能的使用

您可以在几分钟内创建网络负载均衡器并使用 TLS 终止功能！ 您可以使用 API (CreateLoadBalancer)、CLI (create-load-balancer)、EC2 控制台或 AWS CloudFormation 模板。我将使用控制台并单击“负载均衡器”开始。然后我会单击网络负载均衡器区域的创建：

我会输入一个名称 (MyLB2)，“Load Balancer Protocol（负载均衡器协议）”选择 TLS (Secure TCP)：

然后我会选择一个或多个可用区，此外还可以为每个可用区选择一个弹性 IP 地址。我还可以选择为我的 NLB 添加标签。所有设置都完成后，我会单击 Next: Configure Security Settings（下一步：配置安全设置）继续：

在下一页，我可以选择现有证书或上传新的证书。我已经拥有 www.jeff-barr.com 的证书，因此我会选择它。我还将选择一个安全策略（稍后进一步详细解释）：

目前共有七种安全策略可供选择。每种策略都允许使用一定的 TLS 版本和加密方法：

使用 describe-load-balancer-policies 命令可以了解有关策略的更多信息：

选择好证书和策略后，我会单击 Next:Configure Routing（下一步：配置路由）。我可以选择将在我的 NLB 和目标之间使用的通信协议（TCP 或 TLS）。如果我选择 TLS，通信将会加密；这样可让您使用完全的端到端传输中加密：

剩余的设置流程步骤与通常一样，我可以立即开始使用我的网络负载均衡器。

现已推出

TLS 终止功能现已面向以下区域推出，您可以立即开始使用：美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（加利福尼亚北部）、美国西部（俄勒冈）、亚太地区（孟买）、亚太地区（首尔）、亚太地区（新加坡）、亚太地区（悉尼）、亚太地区（东京）、加拿大（中部）、欧洲（法兰克福）、欧洲（爱尔兰）、欧洲（伦敦）、欧洲（巴黎）以及南美洲（圣保罗）。

作者介绍：

Jeff Barr

AWS 首席布道师； 2004 年开始发布博客，此后便笔耕不辍。

本文转载自 AWS 技术博客。

原文链接：

https://amazonaws-china.com/cn/blogs/china/new-tls-termination-for-network-load-balancers/