SEC09-BP02 Impor a criptografia em trânsito
Aplique os requisitos de criptografia definidos com base em políticas, obrigações regulatórias e padrões da organização para cumprir os requisitos organizacionais, legais e de conformidade. Utilize somente protocolos com criptografia ao transmitir dados sigilosos para fora da sua nuvem privada virtual (VPC). A criptografia ajuda a manter a confidencialidade dos dados mesmo quando os dados passam por redes não confiáveis.
Resultado desejado: criptografe o tráfego de rede entre os recursos e a internet para reduzir o acesso não autorizado aos dados. Você criptografa o tráfego de rede no ambiente interno da AWS de acordo com seus requisitos de segurança. Você criptografa dados em trânsito usando protocolos TLS seguros e pacotes de cifras.
Práticas comuns que devem ser evitadas:
-
Utilizar versões obsoletas de SSL, TLS e componentes do pacote de criptografia (por exemplo, SSL v3.0, chaves RSA de 1024 bits e criptografia RC4).
-
Permitir tráfego não criptografado (HTTP) para ou de recursos voltados para o público.
-
Não monitorar e substituir certificados X.509 antes da validade.
-
Utilizar certificados X.509 autoassinados para TLS.
Nível de risco exposto se esta prática recomendada não for estabelecida: Alto
Orientação para implementação
Os serviços da AWS fornecem endpoints HTTPS usando TLS para comunicação, fornecendo criptografia em trânsito quando se comunicam com as APIs da AWS. Protocolos HTTP não seguros podem ser auditados e bloqueados em uma nuvem privada virtual (VPC) por meio do uso de grupos de segurança. As solicitações HTTP também podem ser redirecionadas automaticamente para HTTPS no Amazon CloudFront ou em um Application Load Balancer. Você pode usar uma política de bucket do Amazon Simple Storage Service (Amazon S3)
Etapas de implementação
-
Aplique a criptografia em trânsito: os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure um grupo de segurança para permitir o protocolo HTTPS apenas para a um Application Load Balancer ou instância do Amazon EC2.
-
Configure protocolos seguros em serviços de borda: configure o HTTPS com o Amazon CloudFront e use um perfil de segurança apropriado para sua postura de segurança e caso de uso.
-
Use uma VPN para conectividade externa: considere usar uma VPN IPsec para proteger conexões ponto a ponto ou rede a rede para ajudar a garantir a privacidade e a integridade dos dados.
-
Configure protocolos seguros em balanceadores de carga: selecione uma política de segurança que forneça os pacotes de criptografia mais fortes compatíveis pelos clientes que se conectarão ao receptor. Crie um receptor HTTPS para seu Application Load Balancer.
-
Configure protocolos seguros no Amazon Redshift: configure seu cluster para exigir uma conexão Secure Socket Layer (SSL) ou Transport Layer Security (TLS).
-
Configure protocolos seguros: revise a documentação do serviço da AWS para determinar os recursos de criptografia em trânsito.
-
Configure o acesso seguro ao fazer o upload para buckets do Amazon S3: use os controles de política do bucket do Amazon S3 para impor o acesso seguro aos dados.
-
Considere usar o AWS Certificate Manager
: o ACM permite que você provisione, gerencie e implante certificados TLS públicos para uso com serviços da AWS. -
Considere usar o AWS Private Certificate Authority
para necessidades de PKI privado: a AWS Private CA permite criar hierarquias de autoridade de certificação (CA) privada para emitir certificados X.509 de entidade final que podem ser usados para criar canais TLS criptografados.
Recursos
Documentos relacionados:
