Transportsicherheit in AWS IoT Core - AWS IoT Core
TLSProtokolleSicherheitsrichtlinienWichtige Hinweise zur Transportsicherheit in AWS IoT CoreTransportsicherheit für LoRa WAN drahtlose Geräte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Transportsicherheit in AWS IoT Core

TLS(Transport Layer Security) ist ein kryptografisches Protokoll, das für die sichere Kommunikation über ein Computernetzwerk konzipiert ist. Das AWS IoT Core Device Gateway verlangt von Kunden, die gesamte Kommunikation während der Übertragung zu verschlüsseln, indem es TLS für Verbindungen zwischen Geräten und dem Gateway verwendet wird. TLSwird verwendet, um die Vertraulichkeit der Anwendungsprotokolle (MQTT, und WebSocket) zu gewährleistenHTTP, die von unterstützt werden. AWS IoT Core TLSUnterstützung ist in einer Reihe von Programmiersprachen und Betriebssystemen verfügbar. Die AWS darin enthaltenen Daten werden durch den jeweiligen AWS Dienst verschlüsselt. Weitere Informationen zur Datenverschlüsselung bei anderen AWS Diensten finden Sie in der Sicherheitsdokumentation für diesen Dienst.

TLSProtokolle

AWS IoT Core unterstützt die folgenden Versionen des TLS Protokolls:

  • TLS1.3

  • TLS1.2

Mit AWS IoT Core können Sie die TLS Einstellungen (für TLS1.2 und TLS1.3) in Domänenkonfigurationen konfigurieren. Weitere Informationen finden Sie unter Konfiguration von TLS Einstellungen in Domänenkonfigurationen.

Sicherheitsrichtlinien

Eine Sicherheitsrichtlinie ist eine Kombination von TLS Protokollen und ihren Verschlüsselungen, die festlegen, welche Protokolle und Chiffren bei TLS Verhandlungen zwischen einem Client und einem Server unterstützt werden. Sie können Ihre Geräte so konfigurieren, dass sie je nach Bedarf vordefinierte Sicherheitsrichtlinien verwenden. Beachten Sie, dass benutzerdefinierte AWS IoT Core Sicherheitsrichtlinien nicht unterstützt werden.

Sie können eine der vordefinierten Sicherheitsrichtlinien für Ihre Geräte auswählen, wenn Sie eine Verbindung herstellen AWS IoT Core. Die Namen der neuesten vordefinierten Sicherheitsrichtlinien AWS IoT Core enthalten Versionsinformationen, die auf dem Jahr und Monat basieren, in dem sie veröffentlicht wurden. Die vordefinierte Standardsicherheitsrichtlinie ist beispielsweise IoTSecurityPolicy_TLS13_1_2_2022_10. Um eine Sicherheitsrichtlinie anzugeben, können Sie die AWS IoT Konsole oder die verwenden AWS CLI. Weitere Informationen finden Sie unter Konfiguration von TLS Einstellungen in Domänenkonfigurationen.

In der folgenden Tabelle werden die aktuellen vordefinierten Sicherheitsrichtlinien beschrieben, die von AWS IoT Core unterstützt werden. Die IotSecurityPolicy_ wurde aus Richtliniennamen in der Überschriftenzeile entfernt, sodass sie passen.

Sicherheitsrichtlinie TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
TCPHafen

443/8443/8883

443/8443/8883

443/8443/8883

 443 8443/8883 443 8443/8883
TLSProtokolle
TLS1.2
TLS1.3
TLSChiffren
TLS_ _128_ _ AES GCM SHA256
TLS_ _256_ _ AES GCM SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DHE-RSA-AES256-SHA
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
Anmerkung

TLS12_1_0_2016_01ist nur in den folgenden Sprachen verfügbar AWS-Regionen: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west

TLS12_1_0_2015_01ist nur in den folgenden Ländern verfügbar AWS-Regionen: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.

Wichtige Hinweise zur Transportsicherheit in AWS IoT Core

Bei Geräten, die eine Verbindung herstellen, TLS verschlüsselt die Verbindung zwischen den Geräten und dem Broker und AWS IoT Core verwendet die Client-Authentifizierung MQTT, um Geräte zu identifizieren. AWS IoT Core TLS Weitere Informationen finden Sie unter Client-Authentifizierung. Bei Geräten, die eine Verbindung AWS IoT Core mit Using herstellen HTTP, wird die Verbindung zwischen den Geräten und dem Broker TLS verschlüsselt, und die Authentifizierung wird an AWS Signature Version 4 delegiert. Weitere Informationen finden Sie unter Signieren von Anforderungen mit Signature Version 4 in der Allgemeinen Referenz zu AWS .

Wenn Sie Geräte mit verbinden AWS IoT Core, ist das Senden der Erweiterung Server Name Indication (SNI) nicht erforderlich, wird aber dringend empfohlen. Um Funktionen wie die Registrierung mehrerer Konten, benutzerdefinierte Domänen, VPCEndpunkte und konfigurierte TLS Richtlinien verwenden zu können, müssen Sie die SNI Erweiterung verwenden und die vollständige Endpunktadresse in das host_name Feld eingeben. Im Feld host_name muss der Endpunkt angegeben sein, den Sie aufrufen. Dieser Endpunkt muss einer der folgenden sein:

Verbindungsversuche von Geräten mit dem falschen oder ungültigen host_name Wert schlagen fehl. AWS IoT Core protokolliert Fehler CloudWatch für den Authentifizierungstyp Benutzerdefinierte Authentifizierung.

AWS IoT Core unterstützt die SessionTicket TLSErweiterung nicht.

Transportsicherheit für LoRa WAN drahtlose Geräte

LoRaWANGeräte folgen den in LoRaWAN™SECURITY: A White Paper Prepared for the LoRa Alliance™ von Gemalto, Actility und Semtech beschriebenen Sicherheitspraktiken.

Weitere Informationen zur Transportsicherheit mit LoRa WAN Geräten finden Sie unter LoRaWANDaten- und Transportsicherheit.