Sûreté des transports dans AWS IoT Core - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sûreté des transports dans AWS IoT Core

TLS(Transport Layer Security) est un protocole cryptographique conçu pour sécuriser les communications sur un réseau informatique. Le AWS IoT Core Device Gateway oblige les clients à chiffrer toutes les communications pendant le transport en les utilisant TLS pour les connexions entre les appareils et la passerelle. TLSest utilisé pour garantir la confidentialité des protocoles d'application (MQTTHTTP, et WebSocket) pris en charge par AWS IoT Core. TLSle support est disponible dans un certain nombre de langages de programmation et de systèmes d'exploitation. Données contenues dans AWS est crypté par le AWS service. Pour plus d'informations sur le cryptage des données sur d'autres AWS services, consultez la documentation de sécurité relative à ce service.

TLSprotocoles

AWS IoT Core prend en charge les versions suivantes du TLS protocole :

  • TLS1.3

  • TLS1.2

Avec AWS IoT Core, vous pouvez configurer les TLS paramètres (pour TLS1.2 et TLS1.3) dans les configurations de domaine. Pour de plus amples informations, veuillez consulter Configuration des paramètres TLS dans les configurations de domaine.

Stratégies de sécurité

Une politique de sécurité est une combinaison de TLS protocoles et de leurs chiffrements qui déterminent quels protocoles et chiffrements sont pris en charge lors des TLS négociations entre un client et un serveur. Vous pouvez configurer vos appareils pour utiliser des politiques de sécurité prédéfinies en fonction de vos besoins. Notez que AWS IoT Core ne prend pas en charge les politiques de sécurité personnalisées.

Vous pouvez choisir l'une des politiques de sécurité prédéfinies pour vos appareils lorsque vous les connectez à AWS IoT Core. Les noms des politiques de sécurité prédéfinies les plus récentes dans AWS IoT Core inclure des informations sur les versions en fonction de l'année et du mois de leur publication. La stratégie de sécurité prédéfinie par défaut est IoTSecurityPolicy_TLS13_1_2_2022_10. Pour définir une politique de sécurité, vous pouvez utiliser AWS IoT console ou AWS CLI. Pour plus d'informations, consultezConfiguration des paramètres TLS dans les configurations de domaine.

Le tableau suivant décrit les dernières politiques de sécurité prédéfinies qui AWS IoT Core soutient. Le IotSecurityPolicy_ a été supprimé des noms de stratégie dans la ligne d'en-tête afin qu'ils correspondent.

Politique de sécurité TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
TCPPort

443/8443/8883

443/8443/8883

443/8443/8883

443 8443/8883 443 8443/8883
TLSProtocoles
TLS1.2
TLS1.3
TLSChiffrements
TLS_ AES GCM _128_ _ SHA256
TLS_ AES GCM _256_ _ SHA384
TLS_ CHACHA2 0_ 05_ POLY13 SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DHE-RSA-AES256-SHA
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
Note

TLS12_1_0_2016_01n'est disponible que dans les pays suivants Régions AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ap-southeast-2, ca-central-1, cn-nord-1, cn-northwest-1, eu-nord-1, eu-ouest-2, eu-west-3 west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west

TLS12_1_0_2015_01n'est disponible que dans les pays suivants Régions AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-est-1, us-west-2.

Remarques importantes pour la sécurité des transports dans AWS IoT Core

Pour les appareils qui se connectent à AWS IoT Core en utilisant MQTT, TLS chiffre la connexion entre les appareils et le courtier, et AWS IoT Core utilise l'authentification TLS du client pour identifier les appareils. Pour plus d’informations, consultez Authentification client. Pour les appareils qui se connectent à AWS IoT Core en utilisant HTTP, TLS chiffre la connexion entre les appareils et le courtier, et l'authentification est déléguée à AWS Version de signature 4. Pour plus d'informations, consultez la section Signature des demandes avec Signature version 4 dans le AWS Référence générale.

Lorsque vous connectez des appareils à AWS IoT Core, l'envoi de l'extension Server Name Indication (SNI) n'est pas obligatoire mais vivement recommandé. Pour utiliser des fonctionnalités telles que l'enregistrement multi-comptes, les domaines personnalisés, les VPC points de terminaison et TLSles politiques configurées, vous devez utiliser l'SNIextension et fournir l'adresse complète du point de terminaison dans le host_name champ. Le champ host_name doit contenir le point de terminaison que vous invoquez. Ce point de terminaison doit être l'un des éléments suivants :

  • L’adresse endpointAddress renvoyée par aws iot describe-endpoint --endpoint-type iot:Data-ATS

  • L’adresse domainName renvoyée par aws iot describe-domain-configuration –-domain-configuration-name "domain_configuration_name"

Les connexions tentées par des appareils dont la host_name valeur est incorrecte ou non valide échoueront. AWS IoT Core enregistrera les échecs CloudWatch pour le type d'authentification de l'authentification personnalisée.

AWS IoT Core ne prend pas en charge l'SessionTicket TLSextension.

Sécurité du transport pour les appareils LoRa WAN sans fil

LoRaWANles appareils respectent les pratiques de sécurité décrites dans LoRaWAN™ SECURITY : un livre blanc préparé pour l' LoRa Alliance™ par Gemalto, Actility et Semtech.

Pour plus d'informations sur la sécurité du transport avec des LoRa WAN appareils, consultez la section Sécurité LoRa WAN des données et du transport.