SEC09-BP02 在传输过程中强制加密 - AWS Well-Architected 框架

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC09-BP02 在传输过程中强制加密

实施您根据贵组织的政策、监管义务和标准定义的加密要求,以帮助满足组织、法律和合规性要求。在虚拟私有云之外传输敏感数据时,仅使用带加密功能的协议 (VPC)。即使在不可信的网络中传输数据,加密也有助于保持数据的机密性。

预期结果:所有数据在传输过程中都应使用安全TLS协议和密码套件进行加密。必须对资源和互联网之间的网络流量进行加密,以减少对数据的未经授权访问。应TLS尽可能使用加密仅在内部 AWS 环境内的网络流量。默认情况下, AWS 内部网络是加密的,除非未经授权的一方获得了对任何产生流量的资源(例如 Amazon 实例和 Amazon 容器)的访问权限EC2,否则VPC无法欺骗或嗅探内部的网络流量。ECS考虑使用IPsec虚拟专用网络保护 network-to-network流量 (VPN)。

常见反模式:

  • 使用已弃用版本的SSLTLS、和密码套件组件(例如 SSL v3.0、1024 位RSA密钥和密码)。RC4

  • 允许进出面向公众的资源的未加密 (HTTP) 流量。

  • 未在 X.509 证书到期前监控和替换证书。

  • 使用自签名 X.509 证书。TLS

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

AWS 服务提供TLS用于通信的HTTPS端点,在与通信时提供传输中的加密 AWS APIs。VPC通过使用安全组,HTTP可以对诸如此类的不安全协议进行审计和阻止。HTTP请求也可以自动重定向到 Amazon CloudFront 或 App lication Load Balancer HTTPS 中。您可以完全控制计算资源,以便在整个服务中实施加密。此外,您还可以使用VPC从外部网络VPN连接到您的网络或AWS Direct Connect促进流量加密。验证您的客户是否在调 AWS APIs用至少 TLS 1.2,并在 2023 TLS年 6 月弃用早期版本的AWS 也是如此。 AWS 建议使用 TLS 1.3。 AWS Marketplace 如果您有特殊要求,可以在中使用第三方解决方案。

实施步骤

资源

相关文档: