Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dei trasporti in AWS IoT Core
TLS(Transport Layer Security) è un protocollo crittografico progettato per comunicazioni sicure su una rete di computer. Il AWS IoT Core Device Gateway richiede ai clienti di crittografare tutte le comunicazioni in transito, utilizzandole TLS per le connessioni dai dispositivi al Gateway. TLSviene utilizzato per garantire la riservatezza dei protocolli applicativi (MQTTHTTP, e WebSocket) supportati da. AWS IoT Core TLSil supporto è disponibile in diversi linguaggi di programmazione e sistemi operativi. I dati all'interno AWS sono crittografati dal AWS servizio specifico. Per ulteriori informazioni sulla crittografia dei dati su altri AWS servizi, consulta la documentazione sulla sicurezza relativa a tale servizio.
Indice
TLSprotocolli
AWS IoT Core supporta le seguenti versioni del TLS protocollo:
-
TLS1.3
-
TLS1.2
Con AWS IoT Core, è possibile configurare le TLS impostazioni (per TLS1.2
Policy di sicurezza
Una politica di sicurezza è una combinazione di TLS protocolli e relativi codici che determina quali protocolli e cifrari sono supportati durante le TLS negoziazioni tra un client e un server. È possibile configurare i dispositivi per utilizzare policy di sicurezza predefinite in base alle esigenze. Tieni presente che AWS IoT Core non supporta politiche di sicurezza personalizzate.
Puoi scegliere una delle politiche di sicurezza predefinite per i tuoi dispositivi al momento della connessione a AWS IoT Core. I nomi delle politiche di sicurezza predefinite più recenti AWS IoT Core includono informazioni sulla versione basate sull'anno e sul mese in cui sono state rilasciate. La policy di sicurezza predefinita di default è IoTSecurityPolicy_TLS13_1_2_2022_10. Per specificare una politica di sicurezza, è possibile utilizzare la AWS IoT console o il AWS CLI. Per ulteriori informazioni, consulta Configurazione delle TLS impostazioni nelle configurazioni dei domini.
Nella seguente tabella vengono descritte le policy di sicurezza predefinite più recenti supportate da AWS IoT Core . IotSecurityPolicy_ è stato rimosso dai nomi di policy nella riga dell'intestazione ai fini dell'adattamento.
| Policy di sicurezza | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| TCPPorto |
443/8443/883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| TLSProtocolli | |||||||
| TLS1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS1.3 | ✓ | ✓ | |||||
| TLSCifre | |||||||
| TLS_ _128_ _ AES GCM SHA256 | ✓ | ✓ | |||||
| TLS_ _256_ _ AES GCM SHA384 | ✓ | ✓ | |||||
| TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Nota
TLS12_1_0_2016_01è disponibile solo nelle seguenti versioni Regioni AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-3 -sud-1, sa-est-1, us-est-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01è disponibile solo nelle seguenti versioni Regioni AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.
Note importanti per la sicurezza di trasporto in AWS IoT Core
Per i dispositivi che si connettono all'utilizzo, crittografa la connessione tra i dispositivi e il broker e AWS IoT Core utilizza MQTTl'autenticazione client per identificare i dispositivi. TLS AWS IoT Core TLS Per ulteriori informazioni, consultare Autenticazione client. Per i dispositivi che si connettono all' AWS IoT Core utilizzo HTTP, TLS crittografa la connessione tra i dispositivi e il broker e l'autenticazione è delegata alla versione 4 di AWS Signature. Per ulteriori informazioni, consultare Firma delle richieste con Signature Version 4 nella documentazione generale di riferimento di AWS .
Quando si connettono dispositivi a AWS IoT Core, l'invio dell'estensione Server Name Indication (SNI)host_name Il campo host_name deve contenere l'endpoint che si sta chiamando. Tale endpoint deve essere uno dei seguenti:
-
Il valore
endpointAddressrestituito daaws iot describe-endpoint--endpoint-type iot:Data-ATS -
Il valore
domainNamerestituito daaws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
Le connessioni tentate da dispositivi con un valore errato o non valido falliranno. host_name AWS IoT Core registrerà gli errori utilizzando il tipo CloudWatch di autenticazione Custom Authentication.
AWS IoT Core non supporta l'SessionTicket TLSestensione
Sicurezza del trasporto per dispositivi LoRa WAN wireless
LoRaWANi dispositivi seguono le pratiche di sicurezza descritte in LoRaWAN™SECURITY: A White Paper Prepared for the LoRa Alliance™ di Gemalto, Actility e Semtech
Per ulteriori informazioni sulla sicurezza dei trasporti con LoRa WAN i dispositivi, consulta Sicurezza LoRaWANdei dati e del trasporto.
