※ 本記事は、Sajal Kanthaによる”Announcing TLS 1.3 support on OCI flexible load balancers“を翻訳したものです。

2024年5月15日

Transport Layer Security (TLS)は、インターネット通信を保護する暗号化標準です。「HTTPS」の「s」です。TLSバージョン1.3は最新リリースで、業界標準です。Oracle Cloud Infrastructure (OCI)の柔軟なロード・バランサは、リスナーおよびバックエンド・セットでTLS 1.3をサポートするようになりました。

OCIフレキシブル・ロード・バランサは、多くの場合、アプリケーションのエントリ・ポイントです。通常は、フロントエンドの通信暗号化処理もアプリケーションからオフロードするため、アプリケーションのセキュリティにおいて重要なコンポーネントとなります。TLS 1.3をサポートすることで、古い安全でない暗号化アルゴリズムを明示的に削除し、既知の脆弱性を持たないアルゴリズムのみを使用し、完全なフォワード・シークレットをサポートすることで、アプリケーションのセキュリティ状況を確保できます。TLS 1.3では、新しいクライアントにはラウンドトリップが1つのみ必要で、事前共有キーを持つクライアントにはラウンドトリップが1つも必要ないため、レイテンシを短縮することでパフォーマンスが向上します。

OCIフレキシブル・ロード・バランサでのTLS 1.3の有効化

次のステップを使用して、フレキシブル・ロード・バランサでTLS 1.3を有効にできます。詳細は、ドキュメントを参照してください。

1. コンソールで「Networking」に移動し、「Load Balancer」をクリックします。

The expanded navigation path in the Console.

 

2. TLS 1.3を有効にするロード・バランサを選択します。

The available load balancers in the example tenancy.

 

3. 「Resources」セクションで、目的のリスナーを選択し、「Edit」をクリックします。

The example listener with the Edit button highlighted.

 

4. 「Edit Listener」ウィンドウで、「Show Advanced Options」をクリックし、「TLS version」メニューから「1.3」を選択します。TLS 1.3互換の暗号スイートを使用する必要があります。デフォルトのTLS1.3互換暗号スイート(oci-default-http2-tls12-13-ssl-cipher-suite-v1)を使用することも、カスタムTLS1.3互換暗号スイートを作成することもできます。リスナーの編集が終了したら、「Save changes」をクリックします。

The expanded advanced options with TLS version 1.3 selected.

 

5. SSL対応バックエンド・セットに対して同じプロセスを繰り返して、ロード・バランサとそのバックエンド間でTLS 1.3が使用されるようにできます。バックエンド・セットに移動し、目的のバックエンドの「Edit」をクリックします。

The expanded backend set details edit menu

6. バックエンド・セットの編集メニューで、「Show Advanced Options」をクリックし、TLSバージョンから1.3を選択します。リスナーの編集が終了したら、「Save changes」をクリックします。

The expanded Show Advanced Options menu for editing the listener’s backend options.

 

次のステップ

TLS 1.3を使用したOCIフレキシブル・ロード・バランサにより、最新のパフォーマンスの高いバージョンのTLSでアプリケーションを保護できるようになりました。OCIフレキシブル・ロード・バランサの詳細は、「OCI Flexible Load Balancer」ページを参照してください。OCIでクラウド・ワークロードを保護する方法の詳細については、Oracle Cloud Infrastructure Cloud Security Servicesのドキュメントを参照してください。