SEC09-BP02 在传输中执行加密
根据贵组织的政策、监管义务和标准定义,实施加密要求,以帮助满足组织、法律和合规性要求。如要在虚拟私有云(VPC)外部传输敏感数据,务必仅使用具有加密功能的协议。即使数据在不可信的网络中传输,加密也有助于保持数据的机密性。
期望结果:所有数据在传输过程中都应使用安全的 TLS 协议和密码套件进行加密。必须对资源和互联网之间的网络流量进行加密,以减少对数据的未经授权访问。对于仅在您内部 AWS 环境中的网络流量,应尽可能使用 TLS 进行加密。默认情况下,AWS 内部网络进行了加密,除非未经授权的一方能够访问正在生成流量的任何资源(如 Amazon EC2 实例和 Amazon ECS 容器),否则无法假冒或嗅探 VPC 内的网络流量。不妨考虑使用 IPsec 虚拟专用网络(VPN)保护网络到网络流量。
常见反模式:
-
使用已弃用的 SSL、TLS 和密码套件组件版本(例如,SSL v3.0、1024 位 RSA 密钥和 RC4 密码)。
-
允许未加密的(HTTP)流量进出面向公众的资源。
-
未在 X.509 证书到期前监控和替换证书。
-
对 TLS 使用自签名 X.509 证书。
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
AWS 服务提供使用 TLS 的 HTTPS 端点进行通信,从而可以在与 AWS API 通信时提供传输中加密。可以使用安全组在 VPC 中审计和拦截不安全的协议,例如 HTTP。也可以在 Amazon CloudFront 中或 Application Load Balancer 上,将 HTTP 请求自动重定向到 HTTPS。您可以完全控制计算资源,以便在整个服务中实施加密。您也可以利用 VPN 连接从外部网络或 AWS Direct Connect
实施步骤
-
实施传输中加密:您定义的加密要求应基于最新的标准和最佳实践,且仅允许使用安全协议。例如,配置一个安全组,仅允许通过 HTTPS 协议访问应用程序负载均衡器或 Amazon EC2 实例。
-
在边缘服务中配置安全协议:使用 Amazon CloudFront 配置 HTTPS,并使用适合您的安全状况和使用案例的安全配置文件。
-
将 VPN 用于外部连接:考虑使用 IPsec VPN 来保护点对点或网络对网络连接,以帮助实现数据隐私和完整性。
-
在负载均衡器中配置安全协议:选择一个安全策略,该策略提供受客户端支持且将要连接到侦听器的强大密码套件。为 Application Load Balancer 创建 HTTPS 侦听器。
-
在 Amazon Redshift 中配置安全协议:将集群配置为要求安全套接字层(SSL)或传输层安全性协议(TLS)连接。
-
配置安全协议:查看 AWS 服务文档,以确定传输中加密功能。
-
上传到 Amazon S3 存储桶时配置安全访问:使用 Amazon S3 存储桶策略控制措施执行对数据的安全访问。
-
不妨考虑使用 AWS Certificate Manager
:ACM 允许您预置、管理和部署用于 AWS 服务的公有 TLS 证书。 -
不妨考虑使用 AWS Private Certificate Authority
满足私有 PKI 需求:AWS Private CA 允许您创建私有证书颁发机构(CA)层次结构,以签发可用于创建加密 TLS 通道的终端实体 X.509 证书。
资源
相关文档:
