SEC09-BP02 Aplique a criptografia em trânsito - AWS Estrutura Well-Architected

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

SEC09-BP02 Aplique a criptografia em trânsito

Aplique os requisitos de criptografia definidos com base em políticas, obrigações regulatórias e padrões da organização para cumprir os requisitos organizacionais, legais e de conformidade. Use somente protocolos com criptografia ao transmitir dados confidenciais para fora da sua nuvem privada virtual (VPC). A criptografia ajuda a manter a confidencialidade dos dados mesmo quando os dados passam por redes não confiáveis.

Resultado desejado: todos os dados devem ser criptografados em trânsito usando TLS protocolos seguros e pacotes de criptografia. O tráfego de rede entre seus recursos e a Internet deve ser criptografado para reduzir o acesso não autorizado aos dados. O tráfego de rede somente em seu AWS ambiente interno deve ser criptografado usando TLS sempre que possível. A rede AWS interna é criptografada por padrão e o tráfego de rede dentro de uma VPC não pode ser falsificado ou detectado, a menos que uma parte não autorizada tenha acesso a qualquer recurso que esteja gerando tráfego (como instâncias EC2 da Amazon e contêineres da Amazon). ECS Considere proteger network-to-network o tráfego com uma rede privada IPsec virtual (VPN).

Práticas comuns que devem ser evitadas:

  • Usando versões obsoletas deSSL,TLS, e componentes do conjunto de cifras (por exemplo, SSL v3.0, chaves de RSA 1024 bits e cifra). RC4

  • Permitir tráfego não criptografado (HTTP) de ou para recursos públicos.

  • Não monitorar e substituir certificados X.509 antes da validade.

  • Usando certificados X.509 autoassinados para. TLS

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

AWS os serviços fornecem HTTPS terminais usados TLS para comunicação, fornecendo criptografia em trânsito ao se comunicar com o. AWS APIs Protocolos inseguros, como os que HTTP podem ser auditados e bloqueados por VPC meio do uso de grupos de segurança. HTTPas solicitações também podem ser redirecionadas automaticamente para a HTTPS Amazon CloudFront ou para um Application Load Balancer. Você tem controle total sobre seus recursos de computação para implementar a criptografia em trânsito em seus serviços. Além disso, você pode usar a VPN conectividade com você VPC a partir de uma rede externa ou AWS Direct Connectpara facilitar a criptografia do tráfego. Verifique se seus clientes estão fazendo chamadas AWS APIs usando pelo menos TLS 1.2, assim como AWS descontinuando o uso de versões anteriores TLS em junho de 2023. AWS recomenda o uso de TLS 1.3. Soluções de terceiros estão disponíveis no AWS Marketplace se você tiver requisitos especiais.

Etapas de implementação

  • Aplique a criptografia em trânsito: os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure um grupo de segurança para permitir somente o HTTPS protocolo em um balanceador de carga de aplicativos ou em uma EC2 instância da Amazon.

  • Configure protocolos seguros em serviços de ponta: configure HTTPS com a Amazon CloudFront e use um perfil de segurança apropriado para sua postura de segurança e caso de uso.

  • Use um VPNpara conectividade externa: considere usar um IPsec VPN para proteger point-to-point nossas network-to-network conexões para ajudar a fornecer privacidade e integridade de dados.

  • Configure protocolos seguros em balanceadores de carga: selecione uma política de segurança que forneça os pacotes de criptografia mais fortes suportados pelos clientes que se conectarão ao receptor. Crie um HTTPS ouvinte para seu Application Load Balancer.

  • Configure protocolos seguros no Amazon Redshift: configure seu cluster para exigir uma conexão segura de camada de soquete (SSL) ou segurança de camada de transporte (TLS).

  • Configure protocolos seguros: revise a documentação do AWS serviço para determinar encryption-in-transit os recursos.

  • Configure o acesso seguro ao fazer o upload para buckets do Amazon S3: use os controles de política do bucket do Amazon S3 para impor o acesso seguro aos dados.

  • Considere usar AWS Certificate Manager: ACM permite provisionar, gerenciar e implantar TLS certificados públicos para uso com AWS serviços.

  • Considere usar AWS Private Certificate Authoritypara PKI necessidades privadas: AWS Private CA permite criar hierarquias de autoridade de certificação (CA) privada para emitir certificados X.509 de entidade final que podem ser usados para criar canais criptografados. TLS

Recursos

Documentos relacionados: