SEC09-BP02 Appliquer le chiffrement en transit - AWS Well-Architected Framework

SEC09-BP02 Appliquer le chiffrement en transit

Appliquez vos exigences de chiffrement définies en fonction des politiques, des obligations réglementaires et des normes de votre entreprise afin de répondre aux exigences organisationnelles, juridiques et de conformité. Utilisez uniquement les protocoles avec chiffrement lors de la transmission de données sensibles en dehors de votre cloud privé virtuel (VPC). Le chiffrement permet de préserver la confidentialité des données, même lorsque celles-ci transitent par des réseaux non fiables.

Résultat souhaité : toutes les données doivent être chiffrées en transit à l'aide de protocoles TLS sécurisés et de suites de chiffrement. Le trafic réseau entre vos ressources et Internet doit être chiffré pour limiter l'accès non autorisé aux données. Le trafic réseau uniquement au sein de votre environnement AWS doit être chiffré à l'aide de TLS dès que possible. Le réseau interne AWS est chiffré par défaut et le trafic réseau au sein d'un VPC ne peut pas être falsifié ni reniflé à moins qu'une partie non autorisée n'ait accès à quelque ressource que ce soit qui génère du trafic (comme les instances Amazon EC2 et les conteneurs Amazon ECS). Envisagez de protéger le trafic réseau à réseau avec un réseau privé virtuel (VPN) IPsec.

Anti-modèles courants :

  • Utiliser des versions obsolètes de composants SSL, TLS et de suite de chiffrement (par exemple, SSL v3.0, clés RSA 1024 bits et chiffrement RC4).

  • Autoriser le trafic non chiffré (HTTP) vers ou depuis des ressources publiques.

  • Ne pas surveiller et ne pas remplacer les certificats X.509 avant leur expiration.

  • Utiliser des certificats X.509 auto-signés pour TLS.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : élevé

Directives d'implémentation

Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles non sécurisés comme HTTP peuvent être contrôlés et bloqués dans un VPC à l'aide de groupes de sécurité. Les requêtes HTTP peuvent également être redirigées automatiquement vers HTTPS dans Amazon CloudFront ou sur un Application Load Balancer. Vous disposez d'un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l'ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d'un réseau externe ou d'AWS Direct Connect pour faciliter le chiffrement du trafic. Vérifiez que vos clients effectuent des appels vers des API AWS en utilisant au moins TLS 1.2, car AWS cessera d'utiliser TLS 1.0 et 1.1 en juin 2023. Des solutions tierces sont disponibles sur AWS Marketplace si vous avez des exigences particulières.

Étapes d'implémentation

  • Appliquez le chiffrement en transit : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez un groupe de sécurité afin d'autoriser uniquement le protocole HTTPS pour un Application Load Balancer ou une instance Amazon EC2.

  • Configurez des protocoles sécurisés dans les services périphériques : configurez HTTPS avec Amazon CloudFront et utilisez un profil de sécurité approprié pour votre situation de sécurité et votre cas d'utilisation.

  • Utilisez un VPN pour la connectivité externe : envisagez d'utiliser un VPN IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d'assurer à la fois la confidentialité et l'intégrité des données.

  • Configurez les protocoles de sécurité dans les équilibreurs de charge : sélectionnez une politique de sécurité qui fournit les suites de chiffrement les plus solides prises en charge par les clients qui se connecteront à l'écouteur. Créez un écouteur HTTPS pour votre Application Load Balancer.

  • Configurez des protocoles sécurisés dans Amazon Redshift : configurez votre cluster de façon à exiger une connexion SSL ou TLS.

  • Configurez des protocoles de sécurité : consultez la documentation des services AWS afin de déterminer les capacités de chiffrement en transit.

  • Configurez un accès sécurisé lors du téléchargement vers les compartiments Amazon S3 : utilisez les contrôles des politiques de compartiments Amazon S3 pour appliquer un accès sécurisé aux données.

  • Envisagez d'utiliser AWS Certificate Manager : ACM vous permet de mettre en service, de gérer et de déployer des certificats TLS publics en vue de leur utilisation avec des services AWS.

  • Envisagez d'utiliser AWS Private Certificate Authority pour les besoins PKI privés : AWS Private CA vous permet de créer des hiérarchies d'autorités de certification privées afin d'émettre des certificats X.509 d'entité finale qui peuvent être utilisés afin de créer des canaux TLS chiffrés.

Ressources

Documents connexes :