SEC09-BP02 Erzwingen von Verschlüsselung bei der Übertragung - AWS Well-Architected Framework
ImplementierungsleitfadenRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC09-BP02 Erzwingen von Verschlüsselung bei der Übertragung

Erzwingen Sie Ihre definierten Verschlüsselungsanforderungen basierend auf den Richtlinien, regulatorischen Verpflichtungen und Standards Ihrer Organisation, damit Sie Ihre Organisations-, Rechts- und Compliance-Anforderungen erfüllen können. Verwenden Sie nur Protokolle mit Verschlüsselung, wenn Sie vertrauliche Daten außerhalb Ihrer Virtual Private Cloud (VPC) übertragen. Verschlüsselung trägt auch dann zur Wahrung der Datenvertraulichkeit bei, wenn die Daten nicht vertrauenswürdige Netzwerke durchqueren.

Gewünschtes Ergebnis: Sie verschlüsseln den Netzwerkdatenverkehr zwischen Ihren Ressourcen und dem Internet, um nicht autorisierten Zugriff auf die Daten zu verhindern. Sie verschlüsseln den Netzwerkverkehr in Ihrer internen AWS-Umgebung entsprechend Ihren Sicherheitsanforderungen. Sie verschlüsseln Daten während der Übertragung mit sicheren TLS-Protokollen und Cipher Suites.

Typische Anti-Muster:

  • Verwendung veralteter Versionen von SSL, TLS und Komponenten von Verschlüsselungssammlungen (zum Beispiel SSL v3.0, RSA-Schlüssel mit 1024 Bit und RC4-Verschlüsselung)

  • Zulassen von unverschlüsseltem (HTTP-)Datenverkehr zu oder von öffentlich zugänglichen Ressourcen

  • keine Überwachung und kein Ersatz von X.509-Zertifikaten, bevor sie ablaufen

  • Verwendung selbstsignierter X.509-Zertifikate für TLS

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

AWS-Services bieten HTTPS-Endpunkte, die für die Kommunikation TLS nutzen. Dadurch werden die Daten bei der Kommunikation mit den AWS-APIs während der Übertragung verschlüsselt. Unsichere HTTP-Protokolle können in einer Virtual Private Cloud (VPC) durch die Verwendung von Sicherheitsgruppen überprüft und blockiert werden. HTTP-Anforderungen können auch automatisch an HTTPS umgeleitet werden (in Amazon CloudFront oder in einem Application Load Balancer). Sie können eine Bucket-Richtlinie von Amazon Simple Storage Service (Amazon S3) verwenden, um die Fähigkeit zum Hochladen von Objekten über HTTP einzuschränken und so die Verwendung von HTTPS für Objekt-Uploads in Ihre(n) Bucket(s) effektiv durchzusetzen. Sie haben uneingeschränkte Kontrolle über Ihre Datenverarbeitungsressourcen und können die Verschlüsselung während der Übertragung in allen Ihren Services implementieren. Darüber hinaus können Sie die VPN-Konnektivität mit Ihrer VPC von einem externen Netzwerk oder von AWS Direct Connect aus verwenden, um die Verschlüsselung des Datenverkehrs zu erleichtern. Vergewissern Sie sich, dass Ihre Clients bei AWS-API-Aufrufen mindestens TLS 1.2 verwenden, da AWS die Verwendung früherer TLS-Versionen im Februar 2024 eingestellt hat. Wir empfehlen Ihnen, TLS 1.3 zu verwenden. Wenn Sie besondere Anforderungen an die Verschlüsselung bei der Übertragung haben, finden Sie verfügbare Lösungen von Drittanbietern im AWS Marketplace.

Implementierungsschritte

  • Erzwingen der Verschlüsselung bei der Übertragung: Die definierten Verschlüsselungsanforderungen sollten sich nach den neuesten Standards und bewährten Methoden richten und nur sichere Protokolle zulassen. Konfigurieren Sie beispielsweise eine Sicherheitsgruppe, die nur das HTTPS-Protokoll für einen Application Load Balancer oder eine Amazon–EC2-Instance zulässt.

  • Konfigurieren von sicheren Protokollen in Edge-Services: Konfigurieren Sie HTTPS mit Amazon CloudFront und verwenden Sie ein für Ihren Sicherheitsstatus und Ihren Anwendungsfall geeignetes Sicherheitsprofil.

  • Verwenden eines VPN für externe Konnektivität: Verwenden Sie gegebenenfalls ein IPsec-VPN, um Punkt-zu-Punkt- oder Netzwerk-zu-Netzwerk-Verbindungen zu schützen und so Datenschutz und Datenintegrität zu gewährleisten.

  • Konfigurieren von sicheren Protokollen bei Load Balancern: Wählen Sie eine Sicherheitsrichtlinie aus, die die stärksten Verschlüsselungssammlungen bereitstellt, die von den Clients unterstützt werden, die eine Verbindung mit dem Listener herstellen. Erstellen Sie einen HTTPS-Listener für Ihren Application Load Balancer.

  • Konfigurieren von sicheren Protokollen bei Amazon Redshift: Konfigurieren Sie Ihren Cluster so, dass eine Verbindung über Secure Socket Layer (SSL) oder Transport Layer Security (TLS) verwendet werden muss.

  • Konfigurieren von sicheren Protokollen: Sehen Sie sich die AWS-Servicedokumentation an, um die Funktionen zur Verschlüsselung während der Übertragung zu bestimmen.

  • Konfigurieren von sicherem Zugriff beim Hochladen in Amazon-S3-Buckets: Verwenden Sie die Richtliniensteuerung für Amazon-S3-Buckets, um sicheren Zugriff auf Daten zu erzwingen.

  • Erwägen der Verwendung von AWS Certificate Manager: ACM ermöglicht die Bereitstellung und Verwaltung öffentlicher TLS-Zertifikate für die Verwendung mit AWS-Services.

  • Erwägen der Verwendung von AWS Private Certificate Authority für private PKI-Anforderungen: AWS Private CA ermöglicht die Erstellung privater Zertifizierungsstellenhierarchien, um X.509-Endentitätszertifikate auszustellen, die zum Erstellen verschlüsselter TLS-Kanäle verwendet werden können.

Ressourcen

Zugehörige Dokumente: