SEC09-BP02 Verschlüsselung bei der Übertragung erzwingen - AWS Well-Architected Framework

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC09-BP02 Verschlüsselung bei der Übertragung erzwingen

Erzwingen Sie Ihre definierten Verschlüsselungsanforderungen basierend auf den Richtlinien, regulatorischen Verpflichtungen und Standards Ihrer Organisation, damit Sie Ihre Organisations-, Rechts- und Compliance-Anforderungen erfüllen können. Verwenden Sie nur verschlüsselte Protokolle, wenn Sie sensible Daten außerhalb Ihrer Virtual Private Cloud übertragen (VPC). Verschlüsselung trägt auch dann zur Wahrung der Datenvertraulichkeit bei, wenn die Daten nicht vertrauenswürdige Netzwerke durchqueren.

Gewünschtes Ergebnis: Alle Daten sollten bei der Übertragung mit sicheren TLS Protokollen und Verschlüsselungssammlungen verschlüsselt werden. Netzwerkdatenverkehr zwischen Ihren Ressourcen und dem Internet muss verschlüsselt werden, um nicht autorisierten Zugriff auf die Daten zu verhindern. Netzwerkverkehr ausschließlich innerhalb Ihrer internen AWS Umgebung sollte, TLS wo immer möglich, verschlüsselt werden. Das AWS interne Netzwerk ist standardmäßig verschlüsselt und der Netzwerkverkehr innerhalb eines VPC kann nicht gefälscht oder ausspioniert werden, es sei denn, eine nicht autorisierte Partei hat Zugriff auf die Ressource erlangt, die Traffic generiert (wie EC2 Amazon-Instances und Amazon-Container). ECS Erwägen Sie den Schutz des network-to-network Datenverkehrs mit einem IPsec virtuellen privaten Netzwerk (). VPN

Typische Anti-Muster:

  • Verwenden Sie veraltete Versionen von SSLTLS, und Cipher Suite-Komponenten (z. B. SSL v3.0, RSA 1024-Bit-Schlüssel und Cipher). RC4

  • Zulassen von unverschlüsseltem () Datenverkehr zu oder von öffentlich zugänglichen Ressourcen. HTTP

  • keine Überwachung und kein Ersatz von X.509-Zertifikaten, bevor sie ablaufen

  • Verwendung von selbstsignierten X.509-Zertifikaten für. TLS

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Hoch

Implementierungsleitfaden

AWS Dienste stellen HTTPS Endpunkte zur Verfügung, die TLS für die Kommunikation verwendet werden, und bieten Verschlüsselung bei der Übertragung bei der Kommunikation mit dem. AWS APIs Unsichere Protokolle HTTP können beispielsweise VPC mithilfe von Sicherheitsgruppen geprüft und blockiert werden. HTTPAnfragen können auch automatisch HTTPS in Amazon CloudFront oder auf einem Application Load Balancer umgeleitet werden. Sie haben uneingeschränkte Kontrolle über Ihre Datenverarbeitungsressourcen und können die Verschlüsselung während der Übertragung in allen Ihren Services implementieren. Darüber hinaus können Sie die VPN Konnektivität über ein externes Netzwerk AWS Direct Connectzu VPC Ihrem Netzwerk nutzen oder die Verschlüsselung des Datenverkehrs erleichtern. Stellen Sie sicher, dass Ihre Kunden mindestens TLS 1.2 AWS APIs verwenden, da AWS dies die Verwendung früherer Versionen von TLS Juni 2023 nicht mehr unterstützt. AWS empfiehlt die Verwendung von 1.3TLS. Lösungen von Drittanbietern sind in der verfügbar AWS Marketplace , falls Sie spezielle Anforderungen haben.

Implementierungsschritte

  • Erzwingen der Verschlüsselung bei der Übertragung: Die definierten Verschlüsselungsanforderungen sollten sich nach den neuesten Standards und bewährten Methoden richten und nur sichere Protokolle zulassen. Konfigurieren Sie beispielsweise eine Sicherheitsgruppe so, dass das HTTPS Protokoll nur für einen Application Load Balancer oder eine EC2 Amazon-Instance zulässig ist.

  • Konfigurieren Sie sichere Protokolle in Edge-Services: Konfigurieren Sie HTTPS mit Amazon CloudFront und verwenden Sie ein Sicherheitsprofil, das für Ihre Sicherheitslage und Ihren Anwendungsfall geeignet ist.

  • Verwenden Sie a VPNfür externe Konnektivität: Erwägen Sie die Verwendung eines IPsec VPN für die Sicherung point-to-point von network-to-network Verbindungen, um sowohl Datenschutz als auch Integrität zu gewährleisten.

  • Konfigurieren von sicheren Protokollen bei Load Balancern: Wählen Sie eine Sicherheitsrichtlinie aus, die die stärksten Verschlüsselungssammlungen bereitstellt, die von den Clients unterstützt werden, die eine Verbindung mit dem Listener herstellen. Erstellen Sie einen HTTPS Listener für Ihren Application Load Balancer.

  • Konfigurieren Sie sichere Protokolle in Amazon Redshift: Konfigurieren Sie Ihren Cluster so, dass eine Secure Socket Layer (SSL) - oder Transport Layer Security (TLS) -Verbindung erforderlich ist.

  • Sichere Protokolle konfigurieren: Lesen Sie die AWS Servicedokumentation, um die encryption-in-transit Funktionen zu ermitteln.

  • Konfigurieren von sicherem Zugriff beim Hochladen in Amazon-S3-Buckets: Verwenden Sie die Richtliniensteuerung für Amazon-S3-Buckets, um sicheren Zugriff auf Daten zu erzwingen.

  • Erwägen Sie die Verwendung von AWS Certificate Manager: ACM ermöglicht Ihnen die Bereitstellung, Verwaltung und Bereitstellung öffentlicher TLS Zertifikate zur Verwendung mit AWS Diensten.

  • Erwägen Sie AWS Private Certificate Authoritydie Verwendung für private PKI Zwecke: AWS Private CA Ermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CA) zur Ausstellung von X.509-Endzertifikaten, die zur Erstellung verschlüsselter Kanäle verwendet werden können. TLS

Ressourcen

Zugehörige Dokumente: