Segurança de transporte em AWS IoT Core - AWS IoT Core

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança de transporte em AWS IoT Core

O Transport Layer Security (TLS) é um protocolo criptográfico projetado para comunicação segura em uma rede de computadores. O AWS IoT Core Device Gateway exige que os clientes criptografem toda a comunicação em trânsito usando TLS para conexões de dispositivos ao Gateway. O TLS é usado para obter a confidencialidade dos protocolos de aplicativos (MQTT, HTTP e WebSocket) suportados pelo. AWS IoT Core O suporte ao TLS está disponível em várias de linguagens de programação e sistemas operacionais. Os dados AWS internos são criptografados pelo AWS serviço específico. Para obter mais informações sobre criptografia de dados em outros AWS serviços, consulte a documentação de segurança desse serviço.

Protocolos TLS

AWS IoT Core suporta as seguintes versões do protocolo TLS:

  • TLS 1.3

  • TLS 1.2

Com AWS IoT Core, você pode definir as configurações de TLS (para TLS 1.2 e TLS 1.3) nas configurações de domínio. Para obter mais informações, consulte Definindo configurações TLS nas configurações de domínio.

Políticas de segurança

Uma política de segurança é uma combinação de protocolos TLS e suas cifras que determinam quais protocolos e cifras são compatíveis durante as negociações de TLS entre um cliente e um servidor. Você pode configurar seus dispositivos para usar políticas de segurança predefinidas com base em suas necessidades. Observe que isso AWS IoT Core não oferece suporte a políticas de segurança personalizadas.

Você pode escolher uma das políticas de segurança predefinidas para seus dispositivos ao conectá-los a. AWS IoT Core Os nomes das políticas de segurança predefinidas mais recentes AWS IoT Core incluem informações de versão com base no ano e mês em que foram lançadas. A política de segurança padrão predefinida é IoTSecurityPolicy_TLS13_1_2_2022_10. Para especificar uma política de segurança, você pode usar o AWS IoT console ou AWS CLI o. Para obter mais informações, consulte Definindo configurações TLS nas configurações de domínio.

A tabela a seguir descreve as políticas de segurança predefinidas mais recentes compatíveis com o AWS IoT Core . O IotSecurityPolicy_ foi removido dos nomes de política na linha de cabeçalho para que se ajustem ao espaço.

Política de segurança TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
Porta TCP

443/8443/883

443/8443/883

443/8443/883

443 8443/883 443 8443/883
Protocolos TLS
TLS 1.2
TLS 1.3
Cifras TLS
TLS_AES_128_GCM_ SHA256
TLS_AES_256_GCM_ SHA384
TLS_ 0_ 05_ CHACHA2 POLY13 SHA256
ECDHE-RSA- -GCM- AES128 SHA256
ECDHE-RSA- - AES128 SHA256
ECDHE-RSA- -SHA AES128
ECDHE-RSA- -GCM- AES256 SHA384
ECDHE-RSA- - AES256 SHA384
ECDHE-RSA- -SHA AES256
AES128-GCM- SHA256
AES128-SHA256
AES128-SHAH
AES256-GCM- SHA384
AES256-SHA256
AES256-SHAH
DHE-RSA- -SHA AES256
ECDHE-ECDSA- -GCM- AES128 SHA256
ECDHE-ECDSA- - AES128 SHA256
ECDHE-ECDSA- -SHA AES128
ECDHE-ECDSA- -GCM- AES256 SHA384
ECDHE-ECDSA- - AES256 SHA384
ECDHE-ECDSA- -SHA AES256
nota

TLS12_1_0_2016_01só está disponível no seguinte Regiões da AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-lest-1, us-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west

TLS12_1_0_2015_01só está disponível no seguinte Regiões da AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-west-2.

Notas importantes para a segurança do transporte no AWS IoT Core

Para dispositivos que se conectam AWS IoT Core usando o MQTT, o TLS criptografa a conexão entre os dispositivos e o agente e AWS IoT Core usa a autenticação do cliente TLS para identificar dispositivos. Para obter mais informações, consulte Autenticação do cliente. Para dispositivos que se conectam AWS IoT Core usando HTTP, o TLS criptografa a conexão entre os dispositivos e o agente, e a autenticação é delegada à AWS Signature Version 4. Para obter mais informações, consulte Assinatura de solicitações com o SignatAre Versão 4 na Referência geral da AWS .

Quando você conecta dispositivos ao AWS IoT Core, o envio da extensão de Indicação de Nome do Servidor (SNI) não é obrigatório, mas é altamente recomendado. Para usar recursos como registro de várias contas, domínios personalizados, endpoints da VPC e políticas de TLS configuradas, é necessário usar a extensão SNI e fornecer o endereço completo do endpoint no campo host_name. O campo host_name deve conter o endpoint que você está chamando. Esse endpoint deve ser um dos seguintes:

As conexões tentadas por dispositivos com o host_name valor incorreto ou inválido falharão. AWS IoT Core registrará falhas no tipo de CloudWatch autenticação da Autenticação Personalizada.

AWS IoT Core não suporta a extensão SessionTicket TLS.

Segurança de transporte para dispositivos sem fio LoRa WAN

LoRaOs dispositivos WAN seguem as práticas de segurança descritas em LoRaWAN™ SECURITY: um white paper preparado para a LoRa Alliance™ pela Gemalto, Actility e Semtech.

Para obter mais informações sobre segurança de transporte com dispositivos LoRa WAN, consulte Dados de LoRa WAN e segurança de transporte.