Seguridad de la infraestructura en AWS Direct Connect

Como servicio gestionado, AWS Direct Connect está protegido por los procedimientos de seguridad de la red AWS global. Utiliza las API llamadas AWS publicadas para acceder a AWS Direct Connect través de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.2 o una versión posterior. Recomendamos la versión TLS 1.3. Los clientes también deben admitir conjuntos de cifrado con total confidencialidad (PFS), como Ephemeral Diffie-Hellman () o Elliptic Curve Ephemeral Diffie-Hellman (DHE). ECDHE La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta asociada a un director. IAM También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Puede API realizar estas operaciones desde cualquier ubicación de la red, pero AWS Direct Connect admite políticas de acceso basadas en los recursos, que pueden incluir restricciones basadas en la dirección IP de origen. También puede utilizar AWS Direct Connect políticas para controlar el acceso desde puntos de enlace específicos o específicos VPCs de Amazon Virtual Private Cloud (AmazonVPC). En efecto, esto aísla el acceso a la red a un AWS Direct Connect recurso determinado únicamente de los recursos específicos VPC de la AWS red. Por ejemplo, consulte Ejemplos de políticas basadas en identidades de Direct Connect.

Seguridad del Border Gateway Protocol (BGP)

Internet se basa en gran medida en el enrutamiento BGP de la información entre los sistemas de red. BGPel enrutamiento a veces puede ser susceptible a ataques maliciosos o BGP secuestros. Para saber cómo proteger AWS de forma más segura su red contra el BGP secuestro, consulte Cómo AWS se ayuda a proteger el enrutamiento de Internet.