本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SEC09-BP02 在傳輸中強制執行加密
根據您組織的政策、法規義務和標準強制已定義的加密需求,以符合組織、法律和合規上的要求。在虛擬私有雲端 () 之外傳輸敏感資料時,僅使用具有加密的通訊協定VPC。加密有助於保持資料完整性,甚至當資料傳輸於不受信任的網路。
預期結果:所有資料都應使用安全TLS通訊協定和密碼套件在傳輸過程中加密。您的資源與網際網路之間的網路流量必須經過加密以緩解對資料的未授權存取。應TLS盡可能使用 加密僅限內部 AWS 環境中的網路流量。 AWS 內部網路預設會加密,除非未經授權方已存取正在產生流量的任何資源 (例如 Amazon EC2執行個體和 Amazon ECS容器),否則 內的網路流量VPC將無法被欺騙或探查。考慮使用IPsec虛擬私有網路 () 保護 network-to-network流量VPN。
常見的反模式:
-
使用已棄用版本的 SSL、 TLS和 密碼套件元件 (例如 v3SSL.0、1024 位元RSA金鑰和 RC4 密碼)。
-
允許未加密的 (HTTP) 流量進出面向公有的資源。
-
未監控 X.509 憑證並在到期前更換。
-
針對 使用自我簽署的 X.509 憑證TLS。
未建立此最佳實務時的曝險等級:高
實作指引
AWS 服務提供使用 進行通訊TLS的HTTPS端點,在與 通訊時提供傳輸中的加密 AWS APIs。類似 等不安全通訊協定HTTP可以透過使用安全群組VPC在 中稽核和封鎖。HTTP 也可以在 Amazon CloudFront 或 Application Load Balancer 中自動重新導向至 HTTPS 的 請求。您可以全權控制您的運算資源,以在各個服務中實作傳輸中加密。此外,您可以使用VPC從外部網路VPN連線至您的 ,或AWS Direct Connect
實作步驟
-
強制傳輸中加密:您定義的加密要求應符合最新標準和最佳實務,並僅允許採用安全協定。例如,將安全群組設定為僅允許對應用程式負載平衡器或 Amazon EC2執行個體的HTTPS通訊協定。
-
在邊緣服務中設定安全通訊協定:HTTPS使用 Amazon 設定 CloudFront ,並使用適合您安全狀態和使用案例 的安全設定檔。
-
使用 VPN進行外部連線:考慮使用 IPsec VPN 保護 point-to-point 或 network-to-network 連線,以協助提供資料隱私權和完整性。
-
在負載平衡器中設定安全協定:選取安全政策,以提供要連接到接聽程式的用戶端所支援的最強固的密碼套件。為您的 Application Load Balancer 建立HTTPS接聽程式。
-
在 Amazon Redshift 中設定安全通訊協定:將叢集設定為需要安全通訊端層 (SSL) 或傳輸層安全 (TLS) 連線 。
-
設定安全通訊協定:檢閱 AWS 服務文件以判斷 encryption-in-transit功能。
-
設定上傳至 Amazon S3 儲存貯體時的安全存取:使用 Amazon S3 儲存貯體政策控制對資料強制安全存取。
-
考慮使用 AWS Certificate Manager
: ACM可讓您佈建、管理和部署公有TLS憑證,以搭配 AWS 服務使用。 -
考慮AWS Private Certificate Authority
針對私有PKI需求使用 : AWS Private CA 允許您建立私有憑證授權機構 (CA) 階層,以發行可用於建立加密TLS頻道的終端實體 X.509 憑證。
資源
相關文件: