SEC09-BP02 Applicazione della crittografia dei dati in transito
Applica i requisiti di crittografia definiti in base alle policy, agli obblighi normativi e agli standard dell'organizzazione per contribuire a soddisfare i requisiti organizzativi, legali e di conformità. Utilizza solo protocolli con crittografia quando trasmetti dati sensibili al di fuori del tuo cloud privato virtuale (VPC). La crittografia aiuta a mantenere la riservatezza dei dati anche quando questi transitano su reti non affidabili.
Risultato desiderato: il traffico di rete tra le tue risorse e Internet viene crittografato per evitare l'accesso non autorizzato ai dati. Il traffico di rete nell'ambiente AWS interno viene crittografato in base ai tuoi requisiti di sicurezza. I dati in transito vengono crittografati mediante protocolli TLS sicuri e suite di crittografia.
Anti-pattern comuni:
-
Utilizzo di versioni obsolete di SSL, TLS e componenti della suite di crittografia (ad esempio, SSL v3.0, chiavi RSA a 1024 bit e crittografia RC4).
-
Autorizzazione del traffico non criptato (HTTP) verso o da risorse pubbliche.
-
Monitoraggio e sostituzione mancati dei certificati X.509 prima della scadenza.
-
Utilizzo di certificati X.509 autofirmati per TLS.
Livello di rischio associato se questa best practice non fosse adottata: elevato
Guida all'implementazione
I servizi AWS forniscono endpoint HTTPS utilizzando TLS per le comunicazioni e offrono la crittografia in transito durante la comunicazione con le API AWS. I protocolli HTTP non sicuri possono essere sottoposti ad audit e bloccati in un cloud privato virtuale (VPC) tramite l'uso di gruppi di sicurezza. È possibile inoltre reindirizzare automaticamente in HTTPS le richieste HTTP in Amazon CloudFront o in un Application Load Balancer. Puoi utilizzare una policy dei bucket di Amazon Simple Storage Service (Amazon S3)
Passaggi dell'implementazione
-
Applica la crittografia in transito: i requisiti di crittografia definiti dovrebbero essere basati sugli standard e sulle best practice più recenti e consentire solo protocolli sicuri. Ad esempio, configura un gruppo di sicurezza per consentire solo il protocollo HTTPS a un Application Load Balancer o a un'istanza Amazon EC2.
-
Configura protocolli sicuri nei servizi edge: configura HTTPS con Amazon CloudFront e utilizza un profilo di sicurezza adeguato al tuo livello di sicurezza e il tuo caso d'uso.
-
Usa una VPN per la connettività esterna: valuta l'impiego di una VPN IPsec per la protezione delle connessioni punto a punto o rete a rete al fine di garantire la riservatezza e l'integrità dei dati.
-
Configura protocolli sicuri nei bilanciatori del carico: seleziona una policy di sicurezza che fornisca le suite di crittografia più solide supportate dai client che si connetteranno al listener. Create an HTTPS listener for your Application Load Balancer.
-
Configura protocolli di sicurezza in Amazon Redshift: configura il cluster per richiedere una connessione Secure Socket Layer (SSL) o Transport Layer Security (TLS)..
-
Configura protocolli sicuri: consulta la documentazione del servizio AWS per determinare le funzionalità di crittografia in transito.
-
Configura l'accesso sicuro durante il caricamento su bucket Amazon S3: utilizza i controlli delle policy sui bucket Amazon S3 per applicare l'accesso sicuro ai dati.
-
Prendi in considerazione l'utilizzo di AWS Certificate Manager
: ACM ti consente di fornire, gestire e implementare certificati TLS pubblici da utilizzare con i servizi AWS. -
Prendi in considerazione l'utilizzo AWS Private Certificate Authority
per le esigenze di PKI private: AWS Private CA consente di creare gerarchie di autorità di certificazione (CA) private per emettere certificati X.509 di entità finale, utilizzabili per creare canali TLS crittografati.
Risorse
Documenti correlati:
