Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sûreté des transports dans AWS IoT Core
TLS (Transport Layer Security) est un protocole cryptographique conçu pour sécuriser les communications sur un réseau informatique. La passerelle pour AWS IoT Core appareils oblige les clients à chiffrer toutes les communications pendant le transport en utilisant le protocole TLS pour les connexions entre les appareils et la passerelle. Le protocole TLS est utilisé pour garantir la confidentialité des protocoles d'application (MQTT, HTTP et WebSocket) pris en charge par. AWS IoT Core La prise en charge de TLS est disponible dans un certain nombre de langages de programmation et de systèmes d'exploitation. Les données AWS qu'elles contiennent sont cryptées par le AWS service spécifique. Pour plus d'informations sur le chiffrement des données sur d'autres AWS services, consultez la documentation de sécurité de ce service.
Table des matières
Protocoles TLS
AWS IoT Core prend en charge les versions suivantes du protocole TLS :
-
TLS 1.3
-
TLS 1.2
Avec AWS IoT Core, vous pouvez configurer les paramètres TLS (pour TLS 1.2 et TLS
Stratégies de sécurité
Une stratégie de sécurité est une combinaison de protocoles TLS et de leurs chiffrements qui déterminent quels protocoles et chiffrements sont pris en charge lors des négociations TLS entre un client et un serveur. Vous pouvez configurer vos appareils pour utiliser des politiques de sécurité prédéfinies en fonction de vos besoins. Notez que les politiques de sécurité personnalisées AWS IoT Core ne sont pas prises en charge.
Vous pouvez choisir l'une des politiques de sécurité prédéfinies pour vos appareils lorsque vous les connectez à AWS IoT Core. Les noms des politiques de sécurité prédéfinies les plus récentes AWS IoT Core incluent des informations de version basées sur l'année et le mois de leur publication. La stratégie de sécurité prédéfinie par défaut est IoTSecurityPolicy_TLS13_1_2_2022_10. Pour définir une politique de sécurité, vous pouvez utiliser la AWS IoT console ou le AWS CLI. Pour de plus amples informations, veuillez consulter Configuration des TLS paramètres dans les configurations de domaine.
Le tableau suivant décrit les politiques de sécurité prédéfinies les plus récentes que AWS IoT Core prend en charge. Le IotSecurityPolicy_ a été supprimé des noms de stratégie dans la ligne d'en-tête afin qu'ils correspondent.
| Politique de sécurité | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| Ports TCP |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| Protocoles TLS | |||||||
| TLS 1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS 1.3 | ✓ | ✓ | |||||
| Chiffrements TLS | |||||||
| TLS_AES_128_GCM_ SHA256 | ✓ | ✓ | |||||
| TLS_AES_256_GCM_ SHA384 | ✓ | ✓ | |||||
| TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA- -GCM- AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- - AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- -SHA AES128 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- -GCM- AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- - AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- -SHA AES256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM- SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM- SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA- -SHA AES256 | ✓ | ✓ | |||||
| ECDHE-ECDSA- -GCM- AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- - AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -SHA AES128 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -GCM- AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- - AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -SHA AES256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Note
TLS12_1_0_2016_01est uniquement disponible dans les pays suivants Régions AWS : ap-east-1, ap-northeast-2, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-east-1, us-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01n'est disponible que dans les versions suivantes Régions AWS : ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.
Remarques importantes pour la sécurité des transports en AWS IoT Core
Pour les appareils qui se connectent AWS IoT Core via MQTT, le protocole TLS chiffre la connexion entre les appareils et le broker, et AWS IoT Core utilise l'authentification du client TLS pour identifier les appareils. Pour plus d’informations, consultez Authentification client. Pour les appareils qui se connectent AWS IoT Core via HTTP, le protocole TLS chiffre la connexion entre les appareils et le broker, et l'authentification est déléguée à AWS Signature Version 4. Pour plus d'informations, consultez Signature des demandes avec Signature Version 4 dans AWS Référence Générale.
Lorsque vous connectez des appareils à AWS IoT Core, l'envoi de l'extension SNI (Server Name Indication)host_name Le champ host_name doit contenir le point de terminaison que vous invoquez. Ce point de terminaison doit être l'un des éléments suivants :
-
L’adresse
endpointAddressrenvoyée paraws iot describe-endpoint--endpoint-type iot:Data-ATS -
L’adresse
domainNamerenvoyée paraws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
Les connexions tentées par des appareils dont la host_name valeur est incorrecte ou non valide échoueront. AWS IoT Core enregistrera les échecs CloudWatch pour le type d'authentification de l'authentification personnalisée.
AWS IoT Core ne prend pas en charge l'extension SessionTicket TLS.
Sécurité du transport pour les appareils sans fil LoRa WAN
LoRaLes appareils WAN suivent les pratiques de sécurité décrites dans LoRaWAN™ SECURITY : A White Paper for the LoRa Alliance™ par Gemalto, Actility et Semtech
Pour plus d'informations sur la sécurité du transport avec les périphériques LoRa WAN, consultez la section Données LoRa WAN et sécurité du transport.
