Transportsicherheit in AWS IoT Core - AWS IoT Core
TLS-ProtokolleSicherheitsrichtlinienWichtige Hinweise zur Transportsicherheit in AWS IoT CoreTransportsicherheit für drahtlose LoRa WAN-Geräte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Transportsicherheit in AWS IoT Core

TLS (Transport Layer Security) ist ein kryptografisches Protokoll, das für die sichere Kommunikation über ein Computernetzwerk ausgelegt ist. Beim AWS IoT Core Device Gateway müssen Kunden die gesamte Kommunikation während der Übertragung verschlüsseln, indem sie TLS für Verbindungen zwischen Geräten und dem Gateway verwenden. TLS wird verwendet, um die Vertraulichkeit der Anwendungsprotokolle (MQTT, HTTP und WebSocket) zu gewährleisten, die von unterstützt werden. AWS IoT Core TLS unterstützt verschiedene Programmiersprachen und Betriebssysteme. Die AWS darin enthaltenen Daten werden durch den jeweiligen AWS Dienst verschlüsselt. Weitere Informationen zur Datenverschlüsselung bei anderen AWS Diensten finden Sie in der Sicherheitsdokumentation für diesen Dienst.

TLS-Protokolle

AWS IoT Core unterstützt die folgenden Versionen des TLS-Protokolls:

  • TLS 1.3

  • TLS 1.2

Mit AWS IoT Core können Sie die TLS-Einstellungen (für TLS 1.2 und TLS 1.3) in Domänenkonfigurationen konfigurieren. Weitere Informationen finden Sie unter Konfiguration von TLS Einstellungen in Domänenkonfigurationen.

Sicherheitsrichtlinien

Eine Sicherheitsrichtlinie ist eine Kombination aus TLS-Protokollen und ihren Verschlüsselungen, die bestimmen, welche Protokolle und Verschlüsselungen bei TLS-Verhandlungen zwischen einem Client und einem Server unterstützt werden. Sie können Ihre Geräte so konfigurieren, dass sie je nach Bedarf vordefinierte Sicherheitsrichtlinien verwenden. Beachten Sie, dass benutzerdefinierte Sicherheitsrichtlinien AWS IoT Core nicht unterstützt werden.

Sie können eine der vordefinierten Sicherheitsrichtlinien für Ihre Geräte auswählen, wenn Sie eine Verbindung herstellen AWS IoT Core. Die Namen der neuesten vordefinierten Sicherheitsrichtlinien AWS IoT Core enthalten Versionsinformationen, die auf dem Jahr und Monat basieren, in dem sie veröffentlicht wurden. Die vordefinierte Standardsicherheitsrichtlinie ist beispielsweise IoTSecurityPolicy_TLS13_1_2_2022_10. Um eine Sicherheitsrichtlinie anzugeben, können Sie die AWS IoT Konsole oder die verwenden AWS CLI. Weitere Informationen finden Sie unter Konfiguration von TLS Einstellungen in Domänenkonfigurationen.

In der folgenden Tabelle werden die aktuellen vordefinierten Sicherheitsrichtlinien beschrieben, die von AWS IoT Core unterstützt werden. Die IotSecurityPolicy_ wurde aus Richtliniennamen in der Überschriftenzeile entfernt, sodass sie passen.

Sicherheitsrichtlinie TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
TCP-Port

443/8443/8883

443/8443/8883

443/8443/8883

 443 8443/8883 443 8443/8883
TLS-Protokolle
TLS 1.2
TLS 1.3
TLS-Verschlüsselungsverfahren
TLS AES 128 GCM SHA256
TLS AES 256 GCM SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-RSA- -GCM- AES128 SHA256
ECDHE-RSA- AES128 - SHA256
ECDHE-RSA-SHA AES128
ECDHE-RSA- AES256 -GCM- SHA384
ECDHE-RSA- AES256 - SHA384
ECDHE-RSA-SHA AES256
AES128-GCM- SHA256
AES128-SHA256
AES128-SCHA
AES256-GCM- SHA384
AES256-SHA256
AES256-SCHA
DHE-RSA-SHA AES256
ECDHE-ECDSA- AES128 -GCM- SHA256
ECDHE-ECDSA- - AES128 SHA256
ECDHE-ECDSA- -SHA AES128
ECDHE-ECDSA- -GCM- AES256 SHA384
ECDHE-ECDSA- - AES256 SHA384
ECDHE-ECDSA- -SHA AES256
Anmerkung

TLS12_1_0_2016_01ist nur in den folgenden Sprachen verfügbar AWS-Regionen: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west

TLS12_1_0_2015_01ist nur in den folgenden Ländern verfügbar AWS-Regionen: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.

Wichtige Hinweise zur Transportsicherheit in AWS IoT Core

Bei Geräten, die AWS IoT Core über MQTT eine Verbindung herstellen, verschlüsselt TLS die Verbindung zwischen den Geräten und dem Broker und verwendet die TLS-Client-Authentifizierung, um Geräte zu identifizieren. AWS IoT Core Weitere Informationen finden Sie unter Client-Authentifizierung. Bei Geräten, die AWS IoT Core über HTTP eine Verbindung herstellen, verschlüsselt TLS die Verbindung zwischen den Geräten und dem Broker, und die Authentifizierung wird an AWS Signature Version 4 delegiert. Weitere Informationen finden Sie unter Signieren von Anforderungen mit Signature Version 4 in der Allgemeinen Referenz zu AWS .

Wenn Sie Geräte mit verbinden AWS IoT Core, ist das Senden der SNI-Erweiterung (Server Name Indication) nicht erforderlich, wird aber dringend empfohlen. Um Funktionen wie die Registrierung mehrerer Konten, benutzerdefinierte Domänen, VPC-Endpunkte und konfigurierte TLS-Richtlinien zu verwenden, müssen Sie die SNI-Erweiterung verwenden und die vollständige Endpunktadresse in das Feld eingeben. host_name Im Feld host_name muss der Endpunkt angegeben sein, den Sie aufrufen. Dieser Endpunkt muss einer der folgenden sein:

Verbindungsversuche von Geräten mit dem falschen oder host_name ungültigen Wert schlagen fehl. AWS IoT Core protokolliert Fehler CloudWatch für den Authentifizierungstyp Benutzerdefinierte Authentifizierung.

AWS IoT Core unterstützt die SessionTicket TLS-Erweiterung nicht.

Transportsicherheit für drahtlose LoRa WAN-Geräte

LoRaWAN-Geräte folgen den in LoRaWAN™ SECURITY: A White Paper Prepared for the LoRa Alliance™ von Gemalto, Actility und Semtech beschriebenen Sicherheitspraktiken.

Weitere Informationen zur Transportsicherheit mit LoRa WAN-Geräten finden Sie unter LoRaWAN-Daten und Transportsicherheit.