SEC09-BP02 転送中の暗号化を強制する - AWS Well-Architected フレームワーク
実装のガイダンスリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SEC09-BP02 転送中の暗号化を強制する

組織的、法的、コンプライアンス要件を満たすための組織のポリシー、法的義務と標準に基づいて、定義された暗号化要件を適用します。仮想プライベートクラウド () の外部に機密データを送信するときは、暗号化されたプロトコルのみを使用してくださいVPC。暗号化を行うと、データが信頼できないネットワークを転送中も、データの機密性を保持できます。

望ましい結果: すべてのデータは、安全なTLSプロトコルと暗号スイートを使用して転送中に暗号化する必要があります。データへの不正なアクセスを軽減するためには、リソースとインターネット間のネットワークトラフィックを暗号化する必要があります。内部 AWS 環境内のみのネットワークトラフィックは、TLS可能な限り を使用して暗号化する必要があります。 AWS 内部ネットワークはデフォルトで暗号化され、不正な当事者がトラフィックを生成しているリソース (Amazon EC2インスタンスや Amazon ECSコンテナなど) にアクセスしない限り、 内のネットワークトラフィックをスプーフィングまたはスニッフィングVPCすることはできません。IPsec 仮想プライベートネットワーク () でトラフィックを保護する network-to-networkことを検討してくださいVPN。

一般的なアンチパターン:

  • SSL、、TLSおよび暗号スイートコンポーネントの廃止されたバージョンを使用する (SSLv3.0、1024 ビットRSAキー、RC4暗号など)。

  • パブリック向けリソースとの間で暗号化されていない (HTTP) トラフィックを許可する。

  • X.509 証明書をモニタリングし、期限が切れる前に交換しない。

  • で自己署名 X.509 証明書を使用するTLS。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

AWS サービスは、 を使用して通信TLS用のHTTPSエンドポイントを提供し、 との通信時に転送中の暗号化を提供します AWS APIs。などの安全でないプロトコルは、セキュリティグループVPCを使用して で監査およびブロックHTTPできます。HTTP リクエストは、Amazon CloudFront または Application Load Balancerに自動的にリダイレクトHTTPSすることもできます。コンピューティングリソースを完全に制御して、サービス全体に伝送中データの暗号化を実装できます。さらに、外部ネットワークVPCから VPNへの接続を使用することも、トラフィックの暗号化を容易にAWS Direct Connectすることもできます。クライアントが少なくとも 1.2 TLS を使用して を AWS APIs呼び出していること、および AWS が 1.3 を使用して 2023 年 6 月に以前のバージョンの の使用TLSを廃止していることを確認します。 AWS TLS特別な要件 AWS Marketplace がある場合は、 でサードパーティーのソリューションを使用できます。

実装手順

  • 伝送中に暗号化を適用する: 暗号化の要件は、最新の標準とベストプラクティスに基づき、安全なプロトコルのみを許可する必要があります。例えば、アプリケーションロードバランサーまたは Amazon EC2インスタンスへのHTTPSプロトコルのみを許可するようにセキュリティグループを設定します。

  • エッジサービスで安全なプロトコルを設定する: Amazon HTTPSで を設定し CloudFrontセキュリティ体制とユースケースに適したセキュリティプロファイルを使用します。

  • VPN 外部接続に を使用する: データプライバシーと整合性の両方を提供するためにIPsecVPN、 または network-to-network 接続のセキュリティ保護 point-to-pointに を使用することを検討してください。

  • ロードバランサーで安全なプロトコルを設定する: リスナーに接続するクライアントがサポートしている暗号スイートのなかで、もっとも堅牢な暗号スイートを提供しているセキュリティポリシーを選びます。Application Load Balancer のHTTPSリスナーを作成します

  • Amazon Redshift でセキュアプロトコルを設定する: 安全なソケットレイヤー (SSL) またはトランスポートレイヤーセキュリティ (TLS) 接続 を要求するようにクラスターを設定します。

  • セキュアプロトコルの設定: AWS サービスドキュメントを確認して機能を決定します encryption-in-transit。

  • Amazon S3 バケットへのアップロード時の安全なアクセスを設定する: Amazon S3 バケットポリシーコントロールを使用して、データへの安全なアクセスを適用します。

  • の使用を検討してくださいAWS Certificate Manager ACMでは、 AWS サービスで使用するパブリックTLS証明書をプロビジョニング、管理、デプロイできます。

  • プライベートPKIニーズAWS Private Certificate Authorityに使用することを検討してください。 AWS Private CA これにより、暗号化されたTLSチャネルの作成に使用できるエンドエンティティ X.509 証明書を発行するためのプライベート認証局 (CA) 階層を作成できます。

リソース

関連ドキュメント: