SEC09-BP02 強制傳輸中加密
根據您組織的政策、法規義務和標準強制已定義的加密需求,協助滿足組織、法律和合規上的要求。只有在虛擬私有雲端 (VPC) 以外傳輸敏感資料時才使用加密通訊協定。加密有助於保持資料完整性,甚至當資料傳輸於不受信任的網路時。
預期成果:所有資料都應該在傳輸時使用安全的 TLS 通訊協定和密碼套件加密。您的資源與網際網路之間的網路流量必須經過加密以緩解對資料的未授權存取。完全位於您內部 AWS 環境的網路流量應該盡可能使用 TLS 加密。AWS 內部網路會經預設加密,而且 VPC 內的網路流量無法受詐騙或嗅探,除非未授權方獲得對產生流量的資源 (例如 Amazon EC2 執行個體和 Amazon ECS 容器) 的存取權。考慮使用 IPsec 虛擬私有網路 (VPN) 保護網路對網路流量。
常見的反模式:
-
使用 SSL、TLS 和其他套件元件已棄用的版本 (例如,SSL v3.0、1024 位元 RSA 金鑰和 RC4 密碼)。
-
允許未加密的 (HTTP) 流量來往面向公眾的資源。
-
未監控 X.509 憑證並在到期前更換。
-
對 TLS 使用自我簽署的 X.509 憑證。
未建立此最佳實務時的風險暴露等級:高
實作指引
AWS 服務提供使用 TLS 的 HTTPS 端點以進行通訊,在與 AWS API 通訊時提供傳輸中加密。不安全的通訊協定 (如 HTTP) 可以在 VPC 中透過使用安全群組加以稽核和封鎖。HTTP 請求也可以在 Amazon CloudFront 中或 Application Load Balancer 上自動重新導向至 HTTPS 。您可以全權控制您的運算資源,以在各個服務中實作傳輸中加密。此外,還可以從外部網路或 AWS Direct Connect
實作步驟
-
強制傳輸中加密:您定義的加密要求應符合最新標準和最佳實務,並僅允許採用安全協定。例如,設定安全群組,僅允許 HTTPS 協定連至 Application Load Balancer 或 Amazon EC2 執行個體。
-
在邊緣服務中設定安全通訊協定: 使用 Amazon CloudFront 設定 HTTPS並使用適用於您的安全狀態和使用案例的安全設定檔。
-
使用 VPN 進行外部連線:考慮使用 IPsec VPN,保護點對點或網路對網路連線,以協助提供資料隱私和完整性。
-
在負載平衡器中設定安全的通訊協定:選擇安全政策,以提供要連接到接聽程式的用戶端所支援的最強固的密碼套件。為您的 Application Load Balancer 建立 HTTPS 接聽程式.
-
在 Amazon Redshift 中設定安全協定:將您的叢集設定為要求 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 連線。
-
設定安全通訊協定:檢閱 AWS 服務文件以確定傳輸中加密功能。
-
設定上傳至 Amazon S3 儲存貯體時的安全存取:使用 Amazon S3 儲存貯體政策控制對資料強制安全存取。
-
考慮使用 AWS Certificate Manager
:ACM 可讓您佈建、管理和部署 TLS 憑證與 AWS 服務搭配使用。 -
考慮使用 AWS Private Certificate Authority
滿足私有 PKI 需求:AWS Private CA 可讓您建立私有憑證認證機構 (CA) 階層來核發可用於建立已加密 TLS 管道的終端實體 X.509 憑證。
資源
相關文件: