As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança de transporte em AWS IoT Core
O Transport Layer Security (TLS) é um protocolo criptográfico projetado para comunicação segura em uma rede de computadores. O AWS IoT Core Device Gateway exige que os clientes criptografem toda a comunicação em trânsito usando TLS para conexões de dispositivos ao Gateway. O TLS é usado para obter a confidencialidade dos protocolos de aplicativos (MQTT, HTTP e WebSocket) suportados pelo. AWS IoT Core O suporte ao TLS está disponível em várias de linguagens de programação e sistemas operacionais. Os dados AWS internos são criptografados pelo AWS serviço específico. Para obter mais informações sobre criptografia de dados em outros AWS serviços, consulte a documentação de segurança desse serviço.
Conteúdo
Protocolos TLS
AWS IoT Core suporta as seguintes versões do protocolo TLS:
-
TLS 1.3
-
TLS 1.2
Com AWS IoT Core, você pode definir as configurações de TLS (para TLS 1.2 e TLS
Políticas de segurança
Uma política de segurança é uma combinação de protocolos TLS e suas cifras que determinam quais protocolos e cifras são compatíveis durante as negociações de TLS entre um cliente e um servidor. Você pode configurar seus dispositivos para usar políticas de segurança predefinidas com base em suas necessidades. Observe que isso AWS IoT Core não oferece suporte a políticas de segurança personalizadas.
Você pode escolher uma das políticas de segurança predefinidas para seus dispositivos ao conectá-los a. AWS IoT Core Os nomes das políticas de segurança predefinidas mais recentes AWS IoT Core incluem informações de versão com base no ano e mês em que foram lançadas. A política de segurança padrão predefinida é IoTSecurityPolicy_TLS13_1_2_2022_10. Para especificar uma política de segurança, você pode usar o AWS IoT console ou AWS CLI o. Para obter mais informações, consulte Definindo configurações TLS nas configurações de domínio.
A tabela a seguir descreve as políticas de segurança predefinidas mais recentes compatíveis com o AWS IoT Core . O IotSecurityPolicy_ foi removido dos nomes de política na linha de cabeçalho para que se ajustem ao espaço.
| Política de segurança | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| Porta TCP |
443/8443/883 |
443/8443/883 |
443/8443/883 |
443 | 8443/883 | 443 | 8443/883 |
| Protocolos TLS | |||||||
| TLS 1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS 1.3 | ✓ | ✓ | |||||
| Cifras TLS | |||||||
| TLS_AES_128_GCM_ SHA256 | ✓ | ✓ | |||||
| TLS_AES_256_GCM_ SHA384 | ✓ | ✓ | |||||
| TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA- -GCM- AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- - AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- -SHA AES128 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- -GCM- AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- - AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA- -SHA AES256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM- SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHAH | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM- SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHAH | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA- -SHA AES256 | ✓ | ✓ | |||||
| ECDHE-ECDSA- -GCM- AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- - AES128 SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -SHA AES128 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -GCM- AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- - AES256 SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA- -SHA AES256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
nota
TLS12_1_0_2016_01só está disponível no seguinte Regiões da AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-lest-1, us-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01só está disponível no seguinte Regiões da AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-west-2.
Notas importantes para a segurança do transporte no AWS IoT Core
Para dispositivos que se conectam AWS IoT Core usando o MQTT, o TLS criptografa a conexão entre os dispositivos e o agente e AWS IoT Core usa a autenticação do cliente TLS para identificar dispositivos. Para obter mais informações, consulte Autenticação do cliente. Para dispositivos que se conectam AWS IoT Core usando HTTP, o TLS criptografa a conexão entre os dispositivos e o agente, e a autenticação é delegada à AWS Signature Version 4. Para obter mais informações, consulte Assinatura de solicitações com o SignatAre Versão 4 na Referência geral da AWS .
Quando você conecta dispositivos ao AWS IoT Core, o envio da extensão de Indicação de Nome do Servidor (SNI)host_name. O campo host_name deve conter o endpoint que você está chamando. Esse endpoint deve ser um dos seguintes:
-
O
endpointAddressretornado poraws iot describe-endpoint--endpoint-type iot:Data-ATS -
O
domainNameretornado poraws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
As conexões tentadas por dispositivos com o host_name valor incorreto ou inválido falharão. AWS IoT Core registrará falhas no tipo de CloudWatch autenticação da Autenticação Personalizada.
AWS IoT Core não suporta a extensão SessionTicket TLS
Segurança de transporte para dispositivos sem fio LoRa WAN
LoRaOs dispositivos WAN seguem as práticas de segurança descritas em LoRaWAN™ SECURITY: um white paper preparado para a LoRa Alliance™ pela Gemalto, Actility e
Para obter mais informações sobre segurança de transporte com dispositivos LoRa WAN, consulte Dados de LoRa WAN e segurança de transporte.
