Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dei trasporti in AWS IoT Core
TLS (Transport Layer Security) è un protocollo di crittografia progettato per comunicazioni sicure su una rete di computer. Il AWS IoT Core Device Gateway richiede ai clienti di crittografare tutte le comunicazioni in transito utilizzando TLS per le connessioni dai dispositivi al Gateway. TLS viene utilizzato per garantire la riservatezza dei protocolli applicativi (MQTT, HTTP e) supportati da. WebSocket AWS IoT Core Il supporto TLS è disponibile in diversi linguaggi di programmazione e sistemi operativi. I dati all'interno AWS sono crittografati dal servizio specifico AWS . Per ulteriori informazioni sulla crittografia dei dati su altri AWS servizi, consulta la documentazione sulla sicurezza relativa a tale servizio.
Indice
Protocolli TLS
AWS IoT Core supporta le seguenti versioni del protocollo TLS:
-
TLS 1.3
-
TLS 1.2
Con AWS IoT Core, puoi configurare le impostazioni TLS (per TLS 1.2 e TLS
Policy di sicurezza
Una policy di sicurezza è una combinazione di protocolli TLS e delle relative crittografie che determinano quali protocolli e crittografie sono supportati durante le negoziazioni TLS tra un client e un server. È possibile configurare i dispositivi per utilizzare policy di sicurezza predefinite in base alle esigenze. Tieni presente che AWS IoT Core non supporta politiche di sicurezza personalizzate.
Puoi scegliere una delle politiche di sicurezza predefinite per i tuoi dispositivi al momento della connessione a AWS IoT Core. I nomi delle politiche di sicurezza predefinite più recenti AWS IoT Core includono informazioni sulla versione basate sull'anno e sul mese in cui sono state rilasciate. La policy di sicurezza predefinita di default è IoTSecurityPolicy_TLS13_1_2_2022_10. Per specificare una politica di sicurezza, è possibile utilizzare la AWS IoT console o il AWS CLI. Per ulteriori informazioni, consulta Configurazione delle TLS impostazioni nelle configurazioni dei domini.
Nella seguente tabella vengono descritte le policy di sicurezza predefinite più recenti supportate da AWS IoT Core . IotSecurityPolicy_ è stato rimosso dai nomi di policy nella riga dell'intestazione ai fini dell'adattamento.
| Policy di sicurezza | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| Porta TCP |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| Protocolli TLS | |||||||
| TLS 1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS 1.3 | ✓ | ✓ | |||||
| Crittografie TLS | |||||||
| TLS_AES_128_GCM_ SHA256 | ✓ | ✓ | |||||
| TLS_AES_256_GCM_ SHA384 | ✓ | ✓ | |||||
| TLS_ 0_05_ CHACHA2 POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA- -GCM- AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDH-RSA- AES128 - SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- AES128 -SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- AES256 -GCM- SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDH-RSA- AES256 - SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- AES256 -SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM- SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM- SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| SHE-RSA- -SHA AES256 | ✓ | ✓ | |||||
| ECDHE-ECDSA- AES128 -GCM- SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECSA- - AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -SHA AES128 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -GCM- AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECSA- - AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -SHA AES256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Nota
TLS12_1_0_2016_01è disponibile solo nelle seguenti versioni Regioni AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-3 -sud-1, sa-est-1, us-est-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01è disponibile solo nelle seguenti versioni Regioni AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.
Note importanti per la sicurezza di trasporto in AWS IoT Core
Per i dispositivi che si connettono AWS IoT Core tramite MQTT, TLS crittografa la connessione tra i dispositivi e il broker e utilizza l'autenticazione client TLS per identificare i dispositivi. AWS IoT Core Per ulteriori informazioni, consultare Autenticazione client. Per i dispositivi che si connettono AWS IoT Core tramite HTTP, TLS crittografa la connessione tra i dispositivi e il broker e l'autenticazione è delegata alla versione 4 di Signature. AWS Per ulteriori informazioni, consultare Firma delle richieste con Signature Version 4 nella documentazione generale di riferimento di AWS .
Quando si connettono dispositivi a AWS IoT Core, l'invio dell'estensione Server Name Indication (SNI)host_name Il campo host_name deve contenere l'endpoint che si sta chiamando. Tale endpoint deve essere uno dei seguenti:
-
Il valore
endpointAddressrestituito daaws iot describe-endpoint--endpoint-type iot:Data-ATS -
Il valore
domainNamerestituito daaws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
I tentativi di connessione effettuati da dispositivi con un valore errato o non valido falliranno. host_name AWS IoT Core registrerà gli errori utilizzando il tipo CloudWatch di autenticazione Custom Authentication.
AWS IoT Core non supporta l'estensione SessionTicket TLS.
Sicurezza del trasporto per dispositivi wireless LoRa WAN
LoRaI dispositivi WAN seguono le pratiche di sicurezza descritte in LoRaWAN™ SECURITY: A White Paper Prepared for the LoRa Alliance™ di Gemalto, Actility e Semtech
Per ulteriori informazioni sulla sicurezza del trasporto con i dispositivi LoRa WAN, consulta Sicurezza dei dati e del trasporto LoRa WAN.
