Seguridad del transporte en AWS IoT Core - AWS IoT Core
Protocolos TLSPolíticas de seguridadNotas importantes acerca de la seguridad del transporte en AWS IoT CoreSeguridad de transporte para LoRa dispositivos inalámbricos WAN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad del transporte en AWS IoT Core

TLS (Transport Layer Security, Seguridad de la capa de transporte) es un protocolo criptográfico diseñado para una comunicación segura a través de una red informática. La puerta de enlace de AWS IoT Core dispositivos requiere que los clientes cifren todas las comunicaciones en tránsito mediante TLS para las conexiones de los dispositivos a la puerta de enlace. El TLS se utiliza para garantizar la confidencialidad de los protocolos de aplicación (MQTT, HTTP y) compatibles. WebSocket AWS IoT Core TLS se admite y está disponible en una serie de lenguajes de programación y sistemas operativos. Los datos que contiene AWS son cifrados por el servicio específico AWS . Para obtener más información sobre el cifrado de datos en otros AWS servicios, consulta la documentación de seguridad de ese servicio.

Protocolos TLS

AWS IoT Core admite las siguientes versiones del protocolo TLS:

  • TLS 1.3

  • TLS 1.2

Con AWS IoT Core, puede configurar los ajustes de TLS (para TLS 1.2 y TLS 1.3) en las configuraciones de dominio. Para obtener más información, consulte Configurar los TLS ajustes en las configuraciones de dominio.

Políticas de seguridad

Una política de seguridad es una combinación de protocolos TLS y sus cifrados que determina qué protocolos y cifrados se admiten durante las negociaciones de TLS entre un cliente y un servidor. Puede configurar sus dispositivos para que utilicen políticas de seguridad predefinidas en función de sus necesidades. Tenga en cuenta que AWS IoT Core no admite políticas de seguridad personalizadas.

Al conectarlos a ellos, puedes elegir una de las políticas de seguridad predefinidas para tus dispositivos AWS IoT Core. Los nombres de las políticas de seguridad predefinidas más recientes AWS IoT Core incluyen información sobre la versión según el año y el mes en que se publicaron. La política de seguridad predefinida que se utiliza de forma predeterminada es IoTSecurityPolicy_TLS13_1_2_2022_10. Para especificar una política de seguridad, puede utilizar la AWS IoT consola o la AWS CLI. Para obtener más información, consulte Configurar los TLS ajustes en las configuraciones de dominio.

En la siguiente tabla se describen las políticas de seguridad predefinidas más recientes compatibles con AWS IoT Core . Se ha eliminado IotSecurityPolicy_ de los nombres de política en la fila de encabezado para que quepan.

Política de seguridad TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
Puerto TCP

443/8443/8883

443/8443/8883

443/8443/8883

 443 8443/8883 443 8443/8883
Protocolos TLS
TLS 1.2
TLS 1.3
Cifrados TLS
TLS_AES_128_GCM_ SHA256
TLS_AES_256_GCM_ SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-RSA- -GCM- AES128 SHA256
ECDHE-RSA- AES128 - SHA256
ECDHE-RSA- AES128 -SHA
ECDHE-RSA- AES256 -GCM- SHA384
ECDHE-RSA- AES256 - SHA384
ECDHE-RSA- AES256 -SHA
AES128-GCM- SHA256
AES128-SHA256
AES128-SHA
AES256-GCM- SHA384
AES256-SHA256
AES256-SHA
DHE-RSA- -SHA AES256
ECDHE-ECDSA- AES128 -GCM- SHA256
ECDHE-ECDSA- - AES128 SHA256
ECDHE-ECDSA- -SHA AES128
ECDHE-ECDSA- -GCM- AES256 SHA384
ECDHE-ECDSA- - AES256 SHA384
ECDHE-ECDSA- -SHA AES256
nota

TLS12_1_0_2016_01solo está disponible en las siguientes direcciones Regiones de AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-south-1 us-east-1, us-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west

TLS12_1_0_2015_01solo está disponible en las siguientes direcciones Regiones de AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.

Notas importantes acerca de la seguridad del transporte en AWS IoT Core

En el caso de los dispositivos que se conectan AWS IoT Core mediante MQTT, TLS cifra la conexión entre los dispositivos y el intermediario y utiliza la autenticación de cliente TLS para identificar los dispositivos. AWS IoT Core Para obtener más información, consulta Autenticación del cliente. En el caso de los dispositivos que se conectan AWS IoT Core mediante HTTP, el TLS cifra la conexión entre los dispositivos y el intermediario, y la autenticación se delega a la versión 4 de Signature. AWS Para obtener más información, consulte Firma de solicitudes con Signature Version 4 en la Referencia general de AWS .

Al conectar dispositivos a AWS IoT Core, no es obligatorio enviar la extensión de indicación del nombre del servidor (SNI), pero se recomienda encarecidamente. Para utilizar características como el registro multicuenta, los dominios personalizados, puntos de conexión de VPC y las políticas de TLS configuradas, debe utilizar la extensión SNI y proporcionar la dirección completa del punto de conexión en el campo host_name. El campo host_name debe contener el punto de conexión al que está llamando. El punto de conexión tiene que ser uno de los siguientes:

Las conexiones que intenten realizar dispositivos con un host_name valor incorrecto o no válido fallarán. AWS IoT Core registrará los errores CloudWatch para el tipo de autenticación de autenticación personalizada.

AWS IoT Core no admite la extensión SessionTicket TLS.

Seguridad de transporte para LoRa dispositivos inalámbricos WAN

LoRaLos dispositivos WAN siguen las prácticas de seguridad descritas en LoRaWAN™ SECURITY: un documento técnico preparado para la LoRa Alianza™ por Gemalto, Actility y Semtech.

Para obtener más información sobre la seguridad del transporte con dispositivos LoRa WAN, consulte Seguridad de los datos y el transporte de la LoRa WAN.