Amazon OpenSearch Service で TLS 1.3 と Perfect Forward Secrecy を使用してセキュリティとパフォーマンスを強化する

本記事は 2025 年 6 月 12 日 に公開された「Enhance security and performance with TLS 1.3 and Perfect Forward Secrecy on Amazon OpenSearch Service」を翻訳したものです。

Amazon OpenSearch Service は最近、新しい Transport Layer Security (TLS) ポリシー Policy-Min-TLS-1-2-PFS-2023-10 を導入しました。このポリシーは最新の TLS 1.3 プロトコルと Perfect Forward Secrecy (PFS) 暗号スイートを備えた TLS 1.2 をサポートしています。この新しいポリシーにより、セキュリティが向上し、OpenSearch のパフォーマンスが強化されます。

OpenSearch Service は以前から、ドメインエンドポイントのセキュリティのために事前定義された TLS ポリシーを提供しており、HTTPS を強制することでトラフィックをエンドツーエンドで暗号化できました。しかし、これらのポリシーは TLS 1.0 や TLS 1.2 などの古いバージョンの TLS に限定されており、PFS は提供されていませんでした。

この記事では、この新しいポリシーの利点と、AWS Command Line Interface (AWS CLI) を使用して有効にする方法について説明します。

ソリューションの概要

新しい TLS セキュリティポリシーは、TLS 1.3 と PFS を実装することで、OpenSearch Service ドメインのセキュリティ体制を強化します。これにより、クライアントと OpenSearch Service ドメイン間のトラフィックの機密性と整合性が向上し、機密データに対してより安全で効率的な通信チャネルを提供します。TLS 1.3 は Transport Layer Security プロトコルの最新バージョンであり、レガシー TLS 暗号を標的とした特定の攻撃を防止し、接続時間を短縮する 0-RTT 再開などの改善を提供するように設計されています。TLS 1.3 は TLS 1.2 よりも高速に安全な接続を確立でき、アプリケーションのレイテンシーが削減されます。PFS は、将来サーバーの長期秘密鍵が漏洩した場合でも、過去の通信が安全に保たれることを保証する重要なセキュリティ強化機能です。各接続に一意のランダムに生成されたセッションキーを使用することで、PFS は暗号化されたデータの潜在的な盗聴や復号に対する追加の保護レイヤーを提供します。古い TLS 1.2 ポリシー Policy-Min-TLS-1-2-2019-07 と比較して、PFS を備えた TLS 1.2 は、TLS 1.3 をサポートしていない古いクライアントとの互換性を維持しながら、潜在的な鍵の漏洩から保護することで、より強力なセキュリティを提供します。

前提条件

この新しいポリシーの使用を開始するには、以下の前提条件が必要です。

• アクティブな AWS アカウント
• OpenSearch Service ドメインを作成および変更するための適切な AWS Identity and Access Management (IAM) 権限

OpenSearch Service で新しい TLS ポリシーを有効にする

新しい TLS ポリシーを有効にして新しいドメインを作成するには、create-domain AWS CLI コマンドに --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-PFS-2023-10"}' を追加します。

aws opensearch create-domain \
--domain-name my-domain \
--domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-PFS-2023-10"}' <other config options>

既存のドメインの場合は、update-domain-config AWS CLI コマンドを実行してドメイン設定を更新し、新しい TLS ポリシーを使用できます。

aws opensearch update-domain-config \
--domain-name my-domain \
--domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-PFS-2023-10"}'

クライアント側の考慮事項

ほとんどの最新のクライアントとライブラリは、TLS 1.3 と PFS を備えた TLS 1.2 をすぐにサポートしているはずです。ただし、問題や互換性の懸念が発生した場合は、クライアントライブラリまたは設定を更新して、新しい TLS ポリシーのサポートを有効にする必要がある場合があります。

まとめ

OpenSearch Service の新しい Policy-Min-TLS-1-2-PFS-2023-10 セキュリティポリシーは、セキュリティとパフォーマンスの大幅な改善を提供します。TLS 1.3 と PFS を備えた TLS 1.2 をサポートすることで、このポリシーは転送中のデータを保護し、接続時間を短縮します。OpenSearch Service ドメインに接続する際のセキュリティ体制とパフォーマンスを向上させるために、この新しい TLS セキュリティポリシーの使用を開始することをお勧めします。開始するには、この記事で説明した手順に従って、既存または新規のドメインで新しいポリシーを有効にしてください。

利用可能な TLS オプションとその設定方法の詳細については、「Amazon OpenSearch Service のインフラストラクチャセキュリティ」を参照してください。

Amazon では、セキュリティを最優先事項としており、サービスのセキュリティとパフォーマンスの強化に継続的に取り組んでいます。今後のエキサイティングなアップデートにご期待ください！

著者について

Shubham Kumar は、Amazon OpenSearch Service のソフトウェア開発エンジニアで、セキュリティ分野を専門としています。顧客データとインフラストラクチャの保護を強化するための堅牢なセキュリティ機能の開発に情熱を注いでいます。

Sachet Alva は、Amazon OpenSearch Service のソフトウェア開発マネージャーで、インフラストラクチャセキュリティとカスタムパッケージの取り組みを監督しています。彼のチームのイノベーションは、Amazon OpenSearch Service デプロイメントのセキュリティと柔軟性の強化に貢献しています。

Naveen Negi は、Amazon OpenSearch Service のシニアテクニカルプロダクトマネージャーです。エンジニアリングチームや顧客と緊密に連携して OpenSearch Service の将来を形作り、進化するセキュリティとパフォーマンスのニーズに対応できるようにしています。

この記事は Kiro が翻訳を担当し、Solutions Architect の 榎本 貴之 がレビューしました。