SEC09-BP02 強制執行傳輸中加密

根據適當的標準和建議強制執行已定義的加密要求，協助您符合組織、法律和合規上的要求。AWS 服務提供使用 TLS 進行通訊的 HTTPS 端點，從而在與 API 通訊時提供傳輸中加密。不安全的通訊協定 (例如 HTTP) 可以在 VPC 中透過使用安全群組加以稽核和封鎖。HTTP 請求也可以自動重新導向至 HTTPS 在 Amazon CloudFront 或 Application Load Balancer 中。您可以完全控制您的運算資源，以在各個服務中實作傳輸中加密。此外，還可以從外部網路使用 VPN 連線功能進入 VPC，實現流量加密。如果您有特殊需求，AWS Marketplace 備有第三方解決方案。

若未建立此最佳實務，暴露的風險等級為： 高

實作指引

強制執行傳輸中加密：您定義的加密要求應符合最新標準和最佳實務，並僅允許採用安全協定。例如，將安全群組設定為僅允許 HTTPS 協定到 Application Load Balancer 或 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
在邊緣服務中設定安全協定：使用 Amazon CloudFront 和必要的加密法設定 HTTPS。
- 搭配 CloudFront 使用 HTTPS
使用 VPN 進行外部連線：考慮使用 IPsec VPN 虛擬私有網路 (VPN)，保護點對點或網路對網路連線，以提供資料隱私和完整性。
- VPN 連線
在負載平衡器中設定安全協定：啟用 HTTPS 接聽程式以保護與負載平衡器的連線。
- Application Load Balancer 的 HTTPS 接聽程式
為執行個體設定安全協定：考慮在執行個體上設定 HTTPS 加密。
- 教學：在 Amazon Linux 2 上設定 Apache Web 伺服器以使用 SSL/TLS
在 Amazon Relational Database Service (Amazon RDS) 中設定安全協定：使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 來加密與資料庫執行個體的連線。
- 使用 SSL 加密與資料庫執行個體的連線
在 Amazon Redshift 中設定安全協定：將您的叢集設定為要求 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 連線。
- 設定連線的安全性選項
在其他 AWS 服務中設定安全協定：對於您使用的 AWS 服務，請決定傳輸中加密功能。

資源

相關文件：

AWS 文件

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SEC09-BP01 實作安全金鑰和憑證管理

SEC09-BP03 自動偵測意外的資料存取