SEC09-BP02 在傳輸中強制執行加密 - AWS 建構良好的架構

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC09-BP02 在傳輸中強制執行加密

根據您組織的政策、法規義務和標準強制已定義的加密需求,以符合組織、法律和合規上的要求。在虛擬私有雲端 () 之外傳輸敏感資料時,僅使用具有加密的通訊協定VPC。加密有助於保持資料完整性,甚至當資料傳輸於不受信任的網路。

預期結果:所有資料都應使用安全TLS通訊協定和密碼套件在傳輸過程中加密。您的資源與網際網路之間的網路流量必須經過加密以緩解對資料的未授權存取。應TLS盡可能使用 加密僅限內部 AWS 環境中的網路流量。 AWS 內部網路預設會加密,除非未經授權方已存取正在產生流量的任何資源 (例如 Amazon EC2執行個體和 Amazon ECS容器),否則 內的網路流量VPC將無法被欺騙或探查。考慮使用IPsec虛擬私有網路 () 保護 network-to-network流量VPN。

常見的反模式:

  • 使用已棄用版本的 SSL、 TLS和 密碼套件元件 (例如 v3SSL.0、1024 位元RSA金鑰和 RC4 密碼)。

  • 允許未加密的 (HTTP) 流量進出面向公有的資源。

  • 未監控 X.509 憑證並在到期前更換。

  • 針對 使用自我簽署的 X.509 憑證TLS。

未建立此最佳實務時的曝險等級:

實作指引

AWS 服務提供使用 進行通訊TLS的HTTPS端點,在與 通訊時提供傳輸中的加密 AWS APIs。類似 等不安全通訊協定HTTP可以透過使用安全群組VPC在 中稽核和封鎖。HTTP 也可以在 Amazon CloudFront 或 Application Load Balancer自動重新導向至 HTTPS 的 請求。您可以全權控制您的運算資源,以在各個服務中實作傳輸中加密。此外,您可以使用VPC從外部網路VPN連線至您的 ,或AWS Direct Connect促進流量加密。確認您的用戶端至少使用 TLS 1.2 呼叫 AWS APIs ,因為AWS 在 2023 年 TLS6 月已棄用舊版 。 AWS 建議使用 TLS 1.3。 AWS Marketplace 如果您有特殊需求, 中會提供第三方解決方案。

實作步驟

資源

相關文件: