SEC09-BP02 Application du chiffrement en transit

Appliquez vos exigences de chiffrement définies en fonction des politiques, des obligations réglementaires et des normes de votre entreprise afin de répondre aux exigences organisationnelles, juridiques et de conformité. Utilisez uniquement les protocoles avec chiffrement lors de la transmission de données sensibles en dehors de votre cloud privé virtuel (VPC). Le chiffrement permet de préserver la confidentialité des données, même lorsque celles-ci transitent par des réseaux non fiables.

Résultat escompté : vous chiffrez le trafic réseau entre vos ressources et Internet afin de limiter l’accès non autorisé aux données. Vous chiffrez le trafic réseau au sein de votre environnement AWS interne en fonction de vos exigences de sécurité. Vous chiffrez les données en transit à l’aide des protocoles TLS sécurisés et de suites de chiffrement.

Anti-modèles courants :

Utiliser des versions obsolètes de composants SSL, TLS et de suite de chiffrement (par exemple, SSL v3.0, clés RSA 1024 bits et chiffrement RC4).
Autoriser le trafic non chiffré (HTTP) vers ou depuis des ressources publiques.
Ne pas surveiller et ne pas remplacer les certificats X.509 avant leur expiration.
Utiliser des certificats X.509 auto-signés pour TLS.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles HTTP non sécurisés peuvent être audités et bloqués dans un cloud privé virtuel (VPC) dans le cadre de l’utilisation de groupes de sécurité. Les requêtes HTTP peuvent être également redirigées automatiquement vers HTTPS dans Amazon CloudFront ou sur un Application Load Balancer. Vous pouvez utiliser une politique de compartiment Amazon Simple Storage Service (Amazon S3) pour restreindre la possibilité de charger des objets via HTTP, en imposant l’utilisation du protocole HTTPS pour les chargements d’objets vers votre ou vos compartiments. Vous disposez d’un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l’ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d’un réseau externe ou d’AWS Direct Connect pour faciliter le chiffrement du trafic. Vérifiez que vos clients appellent les API AWS en utilisant au moins le protocole TLS 1.2, car AWS a rendu en février 2024 obsolète l’utilisation des versions de TLS antérieures. Nous vous recommandons d’utiliser TLS 1.3. Si vous avez des exigences particulières en matière de chiffrement en transit, vous pouvez trouver des solutions tierces dans AWS Marketplace.

Étapes d’implémentation

Appliquer le chiffrement en transit : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez un groupe de sécurité afin d’autoriser uniquement le protocole HTTPS pour un Application Load Balancer ou une instance Amazon EC2.
Configurez des protocoles sécurisés dans les services de périphérie : configurez le protocole HTTPS avec Amazon CloudFront et utilisez un profil de sécurité adapté à votre posture de sécurité et à votre cas d’utilisation.
Utiliser un VPN pour la connectivité externe : envisagez d’utiliser un VPN IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d’assurer à la fois la confidentialité et l’intégrité des données.
Configurer des protocoles sécurisés dans les équilibreurs de charge : sélectionnez une politique de sécurité fournissant les suites de chiffrement les plus puissantes prises en charge par les clients qui se connecteront à l’écouteur. Créez un écouteur HTTPS pour votre Application Load Balancer.
Configurer des protocoles sécurisés dans Amazon Redshift : configurez votre cluster pour exiger une connexion SSL (Secure Socket Layer) ou TLS (Transport Layer Security).
Configurer des protocoles sécurisés : consultez la documentation de service AWS pour déterminer les capacités de chiffrement en transit.
Configurez un accès sécurisé lors du téléchargement vers des compartiments Amazon S3 : utilisez les contrôles de stratégie de compartiment Amazon S3 pour garantir un accès sécurisé aux données.
Envisagez d’utiliser AWS Certificate Manager : ACM vous permet de provisionner, de gérer et de déployer des certificats TLS publics à utiliser avec des services AWS.
Envisagez d’utiliser AWS Private Certificate Authority pour les besoins du PKI privé : AWS Private CA vous permet de créer des hiérarchies d’autorités de certification (AC) privées pour délivrer des certificats X.509 d’entité finale qui peuvent être utilisés pour créer des canaux TLS cryptés.

Ressources

Documents connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats

SEC09-BP03 Authentifier les communications réseau