SEC09-BP02 Applicazione della crittografia dei dati in transito - Pilastro della sicurezza

SEC09-BP02 Applicazione della crittografia dei dati in transito

Applica i requisiti di crittografia definiti in base alle policy, agli obblighi normativi e agli standard dell'organizzazione per contribuire a soddisfare i requisiti organizzativi, legali e di conformità. Utilizza solo protocolli con crittografia quando trasmetti dati sensibili al di fuori del tuo cloud privato virtuale (VPC). La crittografia aiuta a mantenere la riservatezza dei dati anche quando questi transitano su reti non affidabili.

Risultato desiderato: il traffico di rete tra le tue risorse e Internet viene crittografato per evitare l'accesso non autorizzato ai dati. Il traffico di rete nell'ambiente AWS interno viene crittografato in base ai tuoi requisiti di sicurezza. I dati in transito vengono crittografati mediante protocolli TLS sicuri e suite di crittografia.

Anti-pattern comuni:

  • Utilizzo di versioni obsolete di SSL, TLS e componenti della suite di crittografia (ad esempio, SSL v3.0, chiavi RSA a 1024 bit e crittografia RC4).

  • Autorizzazione del traffico non criptato (HTTP) verso o da risorse pubbliche.

  • Monitoraggio e sostituzione mancati dei certificati X.509 prima della scadenza.

  • Utilizzo di certificati X.509 autofirmati per TLS.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

I servizi AWS forniscono endpoint HTTPS utilizzando TLS per le comunicazioni e offrono la crittografia in transito durante la comunicazione con le API AWS. I protocolli HTTP non sicuri possono essere sottoposti ad audit e bloccati in un cloud privato virtuale (VPC) tramite l'uso di gruppi di sicurezza. È possibile inoltre reindirizzare automaticamente in HTTPS le richieste HTTP in Amazon CloudFront o in un Application Load Balancer. Puoi utilizzare una policy dei bucket di Amazon Simple Storage Service (Amazon S3) per limitare la possibilità di caricare oggetti tramite HTTP, applicando efficacemente l'uso di HTTPS per il caricamento di oggetti nei tuoi bucket. Hai il controllo completo sulle tue risorse informatiche per implementare la crittografia in transito nei tuoi servizi. Inoltre, puoi utilizzare la connettività VPN nel VPC da una rete esterna o AWS Direct Connect per semplificare la crittografia del traffico. Verifica che i tuoi client stiano effettuando chiamate alle API AWS utilizzando almeno TLS 1.2, poiché l'uso di versioni di TLS precedenti a febbraio 2024 è diventato obsoleto per AWS. Consigliamo di utilizzare TLS 1.3. Se hai requisiti speciali per la crittografia dei dati in transito, puoi trovare soluzioni di terze parti nel Marketplace AWS.

Passaggi dell'implementazione

  • Applica la crittografia in transito: i requisiti di crittografia definiti dovrebbero essere basati sugli standard e sulle best practice più recenti e consentire solo protocolli sicuri. Ad esempio, configura un gruppo di sicurezza per consentire solo il protocollo HTTPS a un Application Load Balancer o a un'istanza Amazon EC2.

  • Configura protocolli sicuri nei servizi edge: configura HTTPS con Amazon CloudFront e utilizza un profilo di sicurezza adeguato al tuo livello di sicurezza e il tuo caso d'uso.

  • Usa una VPN per la connettività esterna: valuta l'impiego di una VPN IPsec per la protezione delle connessioni punto a punto o rete a rete al fine di garantire la riservatezza e l'integrità dei dati.

  • Configura protocolli sicuri nei bilanciatori del carico: seleziona una policy di sicurezza che fornisca le suite di crittografia più solide supportate dai client che si connetteranno al listener. Create an HTTPS listener for your Application Load Balancer.

  • Configura protocolli di sicurezza in Amazon Redshift: configura il cluster per richiedere una connessione Secure Socket Layer (SSL) o Transport Layer Security (TLS)..

  • Configura protocolli sicuri: consulta la documentazione del servizio AWS per determinare le funzionalità di crittografia in transito.

  • Configura l'accesso sicuro durante il caricamento su bucket Amazon S3: utilizza i controlli delle policy sui bucket Amazon S3 per applicare l'accesso sicuro ai dati.

  • Prendi in considerazione l'utilizzo di AWS Certificate Manager: ACM ti consente di fornire, gestire e implementare certificati TLS pubblici da utilizzare con i servizi AWS.

  • Prendi in considerazione l'utilizzo AWS Private Certificate Authority per le esigenze di PKI private: AWS Private CA consente di creare gerarchie di autorità di certificazione (CA) private per emettere certificati X.509 di entità finale, utilizzabili per creare canali TLS crittografati.

Risorse

Documenti correlati: