SEC09-BP02 Applica la crittografia in transito - AWS Well-Architected Framework

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC09-BP02 Applica la crittografia in transito

Applica i requisiti di crittografia definiti in base alle policy, agli obblighi normativi e agli standard dell'organizzazione per contribuire a soddisfare i requisiti organizzativi, legali e di conformità. Utilizzate protocolli con crittografia solo quando trasmettete dati sensibili al di fuori del vostro cloud privato virtuale ()VPC. La crittografia aiuta a mantenere la riservatezza dei dati anche quando questi transitano su reti non affidabili.

Risultato desiderato: tutti i dati devono essere crittografati in transito utilizzando TLS protocolli sicuri e suite di crittografia. Il traffico di rete tra le tue risorse e Internet deve essere crittografato per evitare l'accesso non autorizzato ai dati. Il traffico di rete esclusivamente all'interno AWS dell'ambiente interno deve essere crittografato TLS ove possibile. La rete AWS interna è crittografata per impostazione predefinita e il traffico di rete all'interno di un VPC non può essere falsificato o sniffato a meno che una parte non autorizzata non abbia ottenuto l'accesso a qualsiasi risorsa che genera traffico (come istanze EC2 Amazon e contenitori Amazon). ECS Prendi in considerazione la possibilità di proteggere il network-to-network traffico con una rete privata virtuale (). IPsec VPN

Anti-pattern comuni:

  • Utilizzo di versioni obsolete e componenti della suite di crittografia (ad esempio SSLTLS, SSL v3.0, chiavi a RSA 1024 bit e cipher). RC4

  • Consentire il traffico non crittografato () da o verso risorse rivolte al pubblico. HTTP

  • Monitoraggio e sostituzione mancati dei certificati X.509 prima della scadenza.

  • Utilizzo di certificati X.509 autofirmati per. TLS

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

AWS i servizi forniscono HTTPS endpoint utilizzati TLS per la comunicazione, fornendo la crittografia in transito durante la comunicazione con. AWS APIs I protocolli non sicuri, ad esempio, HTTP possono essere controllati e bloccati in un attimo VPC tramite l'uso di gruppi di sicurezza. HTTPle richieste possono anche essere reindirizzate automaticamente su Amazon CloudFront o su un Application Load Balancer. HTTPS Hai il controllo completo sulle tue risorse informatiche per implementare la crittografia in transito nei tuoi servizi. Inoltre, puoi utilizzare la VPN connettività VPC proveniente da una rete esterna o AWS Direct Connectper facilitare la crittografia del traffico. Verifica che i tuoi clienti stiano effettuando chiamate AWS APIs utilizzando almeno la versione TLS 1.2, così come l'uso delle versioni precedenti di giugno 2023 AWS è obsoleto TLS. AWS consiglia di utilizzare 1.3. TLS Le soluzioni di terze parti sono disponibili in Marketplace AWS caso di esigenze particolari.

Passaggi dell'implementazione

  • Applica la crittografia in transito: i requisiti di crittografia definiti dovrebbero essere basati sugli standard e sulle best practice più recenti e consentire solo protocolli sicuri. Ad esempio, configura un gruppo di sicurezza per consentire il HTTPS protocollo solo a un sistema di bilanciamento del carico delle applicazioni o a un'EC2istanza Amazon.

  • Configura protocolli sicuri nei servizi edge: configura HTTPS con Amazon CloudFront e usa un profilo di sicurezza appropriato al tuo livello di sicurezza e al tuo caso d'uso.

  • Usa un VPNper la connettività esterna: prendi in considerazione l'utilizzo di un IPsec VPN per proteggere le point-to-point network-to-network connessioni per garantire la privacy e l'integrità dei dati.

  • Configura protocolli sicuri nei bilanciatori del carico: seleziona una policy di sicurezza che fornisca le suite di crittografia più solide supportate dai client che si connetteranno all'ascoltatore. Crea un HTTPS listener per il tuo Application Load Balancer.

  • Configura protocolli sicuri in Amazon Redshift: configura il cluster per richiedere una connessione Secure Socket Layer (SSL) o Transport Layer Security (TLS).

  • Configura protocolli sicuri: consulta la documentazione AWS del servizio per determinare encryption-in-transit le funzionalità.

  • Configura l'accesso sicuro durante il caricamento su bucket Amazon S3: utilizza i controlli delle policy sui bucket Amazon S3 per applicare l'accesso sicuro ai dati.

  • Prendi in considerazione l'utilizzo AWS Certificate Manager: ACM consente di fornire, gestire e distribuire TLS certificati pubblici da utilizzare con AWS i servizi.

  • Prendi in considerazione l'utilizzo AWS Private Certificate Authorityper PKI esigenze private: AWS Private CA consente di creare gerarchie di autorità di certificazione (CA) private per emettere certificati X.509 di entità finale che possono essere utilizzati per creare canali crittografati. TLS

Risorse

Documenti correlati: