SEC09-BP02 Appliquer le chiffrement en transit - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC09-BP02 Appliquer le chiffrement en transit

Appliquez vos exigences de chiffrement définies en fonction des politiques, des obligations réglementaires et des normes de votre entreprise afin de répondre aux exigences organisationnelles, juridiques et de conformité. Utilisez uniquement des protocoles chiffrés lorsque vous transmettez des données sensibles en dehors de votre cloud privé virtuel (VPC). Le chiffrement permet de préserver la confidentialité des données, même lorsque celles-ci transitent par des réseaux non fiables.

Résultat souhaité : Toutes les données doivent être cryptées en transit à l'aide de TLS protocoles sécurisés et de suites de chiffrement. Le trafic réseau entre vos ressources et Internet doit être chiffré pour limiter l’accès non autorisé aux données. Le trafic réseau uniquement au sein de votre AWS environnement interne doit être crypté dans la mesure du TLS possible. Le réseau AWS interne est chiffré par défaut et le trafic réseau qu'il contient VPC ne peut pas être falsifié ou reniflé à moins qu'une partie non autorisée n'ait eu accès à la ressource qui génère du trafic (comme les instances Amazon et les EC2 conteneurs Amazon). ECS Envisagez network-to-network de protéger le trafic avec un réseau privé IPsec virtuel (VPN).

Anti-modèles courants :

  • Utilisation de versions obsolètes de SSLTLS, et de composants de la suite de chiffrement (par exemple, SSL v3.0, clés 1024 bits RSA et chiffrement). RC4

  • Autoriser le trafic non chiffré (HTTP) à destination ou en provenance de ressources destinées au public.

  • Ne pas surveiller et ne pas remplacer les certificats X.509 avant leur expiration.

  • Utilisation de certificats X.509 auto-signés pour. TLS

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

AWS les services fournissent des HTTPS points de terminaison TLS utilisés pour la communication, fournissant un cryptage en transit lors de la communication avec le AWS APIs. Les protocoles non sécurisés tels que HTTP ceux-ci peuvent être audités et bloqués VPC grâce à l'utilisation de groupes de sécurité. HTTPles demandes peuvent également être automatiquement redirigées vers HTTPS Amazon CloudFront ou sur un Application Load Balancer. Vous disposez d’un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l’ensemble de vos services. De plus, vous pouvez utiliser la VPN connectivité VPC depuis un réseau externe ou AWS Direct Connectpour faciliter le chiffrement du trafic. Vérifiez que vos clients passent des appels AWS APIs en utilisant au moins la version TLS 1.2, comme cela AWS est le cas si vous deviez utiliser des versions antérieures de juin TLS 2023. AWS recommande d'utiliser TLS 1.3. Des solutions tierces sont disponibles dans le AWS Marketplace si vous avez des exigences particulières.

Étapes d’implémentation

  • Appliquer le chiffrement en transit : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez un groupe de sécurité pour autoriser le HTTPS protocole uniquement à un équilibreur de charge d'application ou à une EC2 instance Amazon.

  • Configurez des protocoles sécurisés dans les services de périphérie : configurez HTTPS avec Amazon CloudFront et utilisez un profil de sécurité adapté à votre posture de sécurité et à votre cas d'utilisation.

  • Utilisez un VPNpour la connectivité externe : pensez à utiliser un IPsec VPN pour la sécurisation point-to-point ou network-to-network les connexions afin de garantir à la fois la confidentialité et l'intégrité des données.

  • Configurer des protocoles sécurisés dans les équilibreurs de charge : sélectionnez une politique de sécurité fournissant les suites de chiffrement les plus puissantes prises en charge par les clients qui se connecteront à l’écouteur. Créez un HTTPS écouteur pour votre Application Load Balancer.

  • Configurez des protocoles sécurisés dans Amazon Redshift : configurez votre cluster pour qu'il nécessite une connexion sécurisée par socket layer (SSL) ou par un protocole de sécurité de la couche transport (TLS).

  • Configurer des protocoles sécurisés : consultez la documentation AWS du service pour déterminer encryption-in-transit les fonctionnalités.

  • Configurez un accès sécurisé lors du téléchargement vers des compartiments Amazon S3 : utilisez les contrôles de stratégie de compartiment Amazon S3 pour garantir un accès sécurisé aux données.

  • Envisagez d'utiliser AWS Certificate Manager: vous ACM permet de fournir, de gérer et de déployer des TLS certificats publics destinés à être utilisés avec AWS des services.

  • Envisagez de l'utiliser AWS Private Certificate Authoritypour des PKI besoins privés : vous AWS Private CA permet de créer des hiérarchies d'autorités de certification (CA) privées pour délivrer des certificats X.509 d'entité finale qui peuvent être utilisés pour créer des canaux chiffrés. TLS

Ressources

Documents connexes :