SEC09-BP02 Impor a criptografia em trânsito
Aplique os requisitos de criptografia definidos com base em políticas, obrigações regulatórias e padrões da organização para cumprir os requisitos organizacionais, legais e de conformidade. Utilize somente protocolos com criptografia ao transmitir dados sigilosos para fora da sua nuvem privada virtual (VPC). A criptografia ajuda a manter a confidencialidade dos dados mesmo quando os dados passam por redes não confiáveis.
Resultado desejado: todos os dados devem ser criptografados em trânsito usando protocolos TLS seguros e pacotes de criptografia. O tráfego de rede entre seus recursos e a Internet deve ser criptografado para reduzir o acesso não autorizado aos dados. O tráfego de rede exclusivamente em seu ambiente interno da AWS deve ser criptografado com TLS sempre que possível. A rede interna da AWS é criptografada por padrão e o tráfego de rede em uma VPC não pode ser adulterado nem interceptado a menos que uma parte não autorizada tenha obtido acesso ao recurso que esteja gerando o tráfego (como instâncias do Amazon EC2 e contêineres do Amazon ECS). Considere proteger o tráfego de rede para rede com uma rede privada virtual (VPN) IPsec.
Práticas comuns que devem ser evitadas:
-
Utilizar versões obsoletas de SSL, TLS e componentes do pacote de criptografia (por exemplo, SSL v3.0, chaves RSA de 1024 bits e criptografia RC4).
-
Permitir tráfego não criptografado (HTTP) para ou de recursos voltados para o público.
-
Não monitorar e substituir certificados X.509 antes da validade.
-
Utilizar certificados X.509 autoassinados para TLS.
Nível de risco exposto se esta prática recomendada não for estabelecida: Alto
Orientação para implementação
Os serviços da AWS fornecem endpoints HTTPS usando TLS para comunicação, fornecendo criptografia em trânsito quando se comunicam com as APIs da AWS. Protocolos não seguros, como HTTP, podem ser auditados e bloqueados em uma VPC por meio do uso de grupos de segurança. As solicitações HTTP também podem ser redirecionadas automaticamente para HTTPS no Amazon CloudFront ou em um Application Load Balancer. Você tem controle total sobre seus recursos de computação para implementar a criptografia em trânsito em seus serviços. Além disso, você pode usar a conectividade de VPN em sua VPC a partir de uma rede externa ou do AWS Direct Connect
Etapas de implementação
-
Aplique a criptografia em trânsito: os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure um grupo de segurança para permitir o protocolo HTTPS apenas para a um Application Load Balancer ou instância do Amazon EC2.
-
Configure protocolos seguros em serviços de borda: configure o HTTPS com o Amazon CloudFront e use um perfil de segurança apropriado para sua postura de segurança e caso de uso.
-
Use uma VPN para conectividade externa: considere usar uma VPN IPsec para proteger conexões ponto a ponto ou rede a rede para ajudar a garantir a privacidade e a integridade dos dados.
-
Configure protocolos seguros em balanceadores de carga: selecione uma política de segurança que forneça os pacotes de criptografia mais fortes suportados pelos clientes que se conectarão ao receptor. Crie um receptor HTTPS para seu Application Load Balancer.
-
Configure protocolos seguros no Amazon Redshift: configure seu cluster para exigir uma conexão Secure Socket Layer (SSL) ou Transport Layer Security (TLS).
-
Configure protocolos seguros: revise a documentação do serviço da AWS para determinar os recursos de criptografia em trânsito.
-
Configure o acesso seguro ao fazer o upload para buckets do Amazon S3: use os controles de política do bucket do Amazon S3 para impor o acesso seguro aos dados.
-
Considere usar o AWS Certificate Manager
: o ACM permite que você provisione, gerencie e implante certificados TLS públicos para uso com serviços da AWS. -
Considere usar o AWS Private Certificate Authority
para necessidades de PKI privado: a AWS Private CA permite criar hierarquias de autoridade de certificação (CA) privada para emitir certificados X.509 de entidade final que podem ser usados para criar canais TLS criptografados.
Recursos
Documentos relacionados: