SEC09-BP02 強制傳輸中加密 - 安全支柱

SEC09-BP02 強制傳輸中加密

根據您組織的政策、法規義務和標準強制已定義的加密需求,以符合組織、法律和合規上的要求。只有在虛擬私有雲端 (VPC) 以外傳輸敏感資料時才使用加密協定。加密有助於保持資料完整性,甚至當資料傳輸於不受信任的網路。

預期成果:您將資源與網際網路之間的網路流量加密,以減少對資料的未經授權存取。您可以根據您的安全要求,加密內部 AWS 環境中的網路流量。您使用安全的 TLS 協定和密碼套件,為所有傳輸中的資料加密。

常見的反模式:

  • 使用 SSL、TLS 和其他套件元件已棄用的版本 (例如,SSL v3.0、1024 位元 RSA 金鑰和 RC4 密碼)。

  • 允許未加密的 (HTTP) 流量來往面向公眾的資源。

  • 未監控 X.509 憑證並在到期前更換。

  • 對 TLS 使用自我簽署的 X.509 憑證。

未建立此最佳實務時的曝險等級:

實作指引

AWS 服務提供使用 TLS 的 HTTPS 端點以進行通訊,在與 AWS API 通訊時提供傳輸中加密。不安全的 HTTP 通訊協定可以在虛擬私有雲端 (VPC) 中,透過使用安全群組來進行稽核和封鎖。在 Amazon CloudFront 或 Application Load Balancer 中,HTTP 請求也可以自動重新導向至 HTTPS。您可以使用 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策來限制透過 HTTP 上傳物件的能力,並有效地強制執行使用 HTTPS,將物件上傳至儲存貯體。您可以全權控制您的運算資源,以在各個服務中實作傳輸中加密。此外,還可以從外部網路或 AWS Direct Connect 使用 VPN 連線功能進入 VPC,加速流量加密。確認您的用戶端使用至少 TLS 1.2 對 AWS APIs 進行呼叫,因為 AWS TLS 的早期版本已於 2024 年 2 月棄用。建議您使用 TLS 1.3。如果您有傳輸中加密的特殊要求,您可以在 AWS Marketplace 中找到可用的第三方解決方案。

實作步驟

資源

相關文件: