# SEC09-BP02 Impor a criptografia em trânsito
<a name="sec_protect_data_transit_encrypt"></a>

Aplique os requisitos de criptografia definidos com base em políticas, obrigações regulatórias e padrões da organização para cumprir os requisitos organizacionais, legais e de conformidade. Utilize somente protocolos com criptografia ao transmitir dados sigilosos para fora da sua nuvem privada virtual (VPC). A criptografia ajuda a manter a confidencialidade dos dados mesmo quando os dados passam por redes não confiáveis.

 **Resultado desejado:** criptografe o tráfego de rede entre os recursos e a internet para reduzir o acesso não autorizado aos dados. Você criptografa o tráfego de rede no ambiente interno da AWS de acordo com seus requisitos de segurança. Você criptografa dados em trânsito usando protocolos TLS seguros e pacotes de cifras. 

 **Práticas comuns que devem ser evitadas:** 
+  Utilizar versões obsoletas de SSL, TLS e componentes do pacote de criptografia (por exemplo, SSL v3.0, chaves RSA de 1024 bits e criptografia RC4). 
+  Permitir tráfego não criptografado (HTTP) para ou de recursos voltados para o público. 
+  Não monitorar e substituir certificados X.509 antes da validade. 
+  Utilizar certificados X.509 autoassinados para TLS. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Os serviços da AWS fornecem endpoints HTTPS usando TLS para comunicação, fornecendo criptografia em trânsito quando se comunicam com as APIs da AWS. Protocolos HTTP não seguros podem ser auditados e bloqueados em uma nuvem privada virtual (VPC) por meio do uso de grupos de segurança. As solicitações HTTP também podem ser [redirecionadas automaticamente para HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no Amazon CloudFront ou em um [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Você pode usar uma [política de bucket do Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/) para restringir a capacidade de fazer upload de objetos via HTTP, impondo efetivamente o uso de HTTPS para uploads de objetos nos buckets. Você tem controle total sobre seus recursos de computação para implementar a criptografia em trânsito em seus serviços. Além disso, você pode usar a conectividade de VPN em sua VPC a partir de uma rede externa ou do [AWS Direct Connect](https://aws.amazon.com/directconnect/) para facilitar a criptografia do tráfego. Verifique se os clientes fazem chamadas para APIs da AWS usando pelo menos o TLS 1.2, já que a [AWS descontinuou o uso de versões anteriores do TLS em fevereiro de 2024](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Recomendamos usar o TLS 1.3. Se você tiver requisitos especiais para criptografia em trânsito, poderá encontrar soluções de terceiros disponíveis no AWS Marketplace. 

### Etapas de implementação
<a name="implementation-steps"></a>
+  **Aplique a criptografia em trânsito:** os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure um grupo de segurança para permitir o protocolo HTTPS apenas para a um Application Load Balancer ou instância do Amazon EC2. 
+  **Configure protocolos seguros em serviços de borda:** [configure o HTTPS com o Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) e use [um perfil de segurança apropriado para sua postura de segurança e caso de uso](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers). 
+  **Use uma [VPN para conectividade externa](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html):** considere usar uma VPN IPsec para proteger conexões ponto a ponto ou rede a rede para ajudar a garantir a privacidade e a integridade dos dados. 
+  **Configure protocolos seguros em balanceadores de carga:** selecione uma política de segurança que forneça os pacotes de criptografia mais fortes compatíveis pelos clientes que se conectarão ao receptor. [Crie um receptor HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html). 
+  **Configure protocolos seguros no Amazon Redshift:** configure seu cluster para exigir uma [conexão Secure Socket Layer (SSL) ou Transport Layer Security (TLS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html). 
+  **Configure protocolos seguros:** revise a documentação do serviço da AWS para determinar os recursos de criptografia em trânsito. 
+  **Configure o acesso seguro ao fazer o upload para buckets do Amazon S3**: use os controles de política do bucket do Amazon S3 para [impor o acesso seguro](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) aos dados. 
+  **Considere usar o [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/):** o ACM permite que você provisione, gerencie e implante certificados TLS públicos para uso com serviços da AWS. 
+  **Considere usar o [Autoridade de Certificação Privada da AWS](https://aws.amazon.com/private-ca/)para necessidades de PKI privado:** a CA Privada da AWS permite criar hierarquias de autoridade de certificação (CA) privada para emitir certificados X.509 de entidade final que podem ser usados para criar canais TLS criptografados. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Usar HTTPS com o CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Conectar sua VPC a redes remotas usando a AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Criar um receptor HTTPS para seu Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ [ Tutorial: configurar o SSL/TLS no Amazon Linux 2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [ Usar SSL/TLS para criptografar uma conexão com uma instância de um banco de dados ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [ Configurar as opções de segurança para conexões ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)