SEC09-BP02 Imponga el cifrado en tránsito - Pilar de seguridad
Guía para la implementaciónRecursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SEC09-BP02 Imponga el cifrado en tránsito

Aplique los requisitos de cifrado definidos en función de las políticas, las obligaciones reglamentarias y las normas de su organización para ayudarle a cumplir los requisitos organizativos, legales y de cumplimiento. Utilice únicamente protocolos cifrados cuando transmita datos confidenciales fuera de su nube privada virtual (VPC). El cifrado ayuda a mantener la confidencialidad de los datos incluso cuando transitan por redes que no son de confianza.

Resultado deseado: Todos los datos en tránsito deben cifrarse mediante TLS protocolos y conjuntos de cifrado seguros. El tráfico de red entre sus recursos e Internet debe cifrarse para mitigar el acceso no autorizado a los datos. El tráfico de red únicamente dentro de su AWS entorno interno debe cifrarse TLS siempre que sea posible. La red AWS interna está cifrada de forma predeterminada y el tráfico de red dentro de una VPC no se puede falsificar ni rastrear a menos que una parte no autorizada haya accedido a cualquier recurso que genere tráfico (como las instancias de Amazon y los contenedores de AmazonEC2). ECS Considere la posibilidad de proteger network-to-network el tráfico con una red privada IPsec virtual (). VPN

Patrones comunes de uso no recomendados:

  • Utilizar versiones obsoletas de SSLTLS, y componentes del conjunto de cifrado (por ejemplo, la versión SSL 3.0, las RSA claves de 1024 bits y el sistema de cifrado). RC4

  • Permitir el tráfico sin cifrar (HTTP) hacia o desde recursos públicos.

  • No supervisar y sustituir los certificados X.509 antes de que caduquen.

  • Utilizar certificados X.509 autofirmados para. TLS

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

AWS los servicios proporcionan HTTPS puntos finales que se utilizan TLS para la comunicación, proporcionando cifrado en tránsito cuando se comunica con. AWS APIs Protocolos inseguros, como los que HTTP pueden auditarse y bloquearse VPC mediante el uso de grupos de seguridad. HTTPlas solicitudes también se pueden redirigir automáticamente a HTTPS Amazon CloudFront o a un Application Load Balancer. Dispone de un control total sobre los recursos de computación para implementar el cifrado en tránsito en los servicios. Además, puedes utilizar la VPN conectividad VPC desde una red externa o AWS Direct Connectpara facilitar el cifrado del tráfico. Comprueba que tus clientes están realizando llamadas AWS APIs utilizando al menos la versión TLS 1.2, así como AWS dejar de usar versiones anteriores desde junio TLS de 2023. AWS recomienda utilizar TLS la versión 1.3. Las soluciones de terceros están disponibles en el AWS Marketplace si tiene requisitos especiales.

Pasos para la implementación

  • Aplicación del cifrado en tránsito: los requisitos de cifrado definidos deben basarse en los últimos estándares y prácticas recomendadas, y solo permitir protocolos seguros. Por ejemplo, configure un grupo de seguridad para que solo permita el HTTPS protocolo a un balanceador de carga de aplicaciones o a una EC2 instancia de Amazon.

  • Configure protocolos seguros en los servicios perimetrales: HTTPS configúrelos con Amazon CloudFront y utilice un perfil de seguridad adecuado para su postura de seguridad y caso de uso.

  • Utilice un VPNpara la conectividad externa: considere la posibilidad de utilizar un IPsec VPN para proteger point-to-point network-to-network las conexiones a fin de garantizar la privacidad e integridad de los datos.

  • Configuración de protocolos seguros en los equilibradores de carga: seleccione una política de seguridad que proporcione los conjuntos de cifrado más seguros que admitan los clientes que se conectarán al oyente. Cree un agente de HTTPS escucha para su Application Load Balancer.

  • Configure protocolos seguros en Amazon Redshift: configure el clúster para que requiera una conexión de capa de conexión segura (SSL) o seguridad de capa de transporte (TLS).

  • Configure protocolos seguros: consulte la documentación AWS del servicio para determinar encryption-in-transit las capacidades.

  • Configuración del acceso seguro al cargar en los buckets de Amazon S3: utilice los controles de políticas de buckets de Amazon S3 para aplicar el acceso seguro a los datos.

  • Considere su uso AWS Certificate Manager: ACM le permite aprovisionar, administrar e implementar TLS certificados públicos para usarlos con AWS los servicios.

  • Considere la posibilidad de utilizarlos AWS Private Certificate Authoritypara PKI necesidades privadas: AWS Private CA permite crear jerarquías de entidades de certificación (CA) privadas para emitir certificados X.509 de entidad final que se pueden utilizar para crear canales cifrados. TLS

Recursos

Documentos relacionados: