Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan transportasi di AWS IoT Core
TLS(Transport Layer Security) adalah protokol kriptografi yang dirancang untuk komunikasi yang aman melalui jaringan komputer. AWS IoT Core Device Gateway mengharuskan pelanggan untuk mengenkripsi semua komunikasi saat dalam perjalanan dengan menggunakan TLS koneksi dari perangkat ke Gateway. TLSdigunakan untuk mencapai kerahasiaan protokol aplikasi (MQTT,HTTP, dan WebSocket) yang didukung oleh. AWS IoT Core TLSdukungan tersedia dalam sejumlah bahasa pemrograman dan sistem operasi. Data di dalamnya AWS dienkripsi oleh layanan tertentu AWS . Untuk informasi selengkapnya tentang enkripsi data pada AWS layanan lain, lihat dokumentasi keamanan untuk layanan tersebut.
Daftar Isi
TLSprotokol
AWS IoT Core mendukung versi TLS protokol berikut:
-
TLS1.3
-
TLS1.2
Dengan AWS IoT Core, Anda dapat mengkonfigurasi TLS pengaturan (untuk TLS1.2
Kebijakan Keamanan
Kebijakan keamanan adalah kombinasi TLS protokol dan cipher mereka yang menentukan protokol dan cipher mana yang didukung selama TLS negosiasi antara klien dan server. Anda dapat mengonfigurasi perangkat untuk menggunakan kebijakan keamanan yang telah ditentukan berdasarkan kebutuhan Anda. Perhatikan bahwa AWS IoT Core tidak mendukung kebijakan keamanan khusus.
Anda dapat memilih salah satu kebijakan keamanan yang telah ditetapkan untuk perangkat Anda saat AWS IoT Core menghubungkannya. Nama-nama kebijakan keamanan standar terbaru AWS IoT Core termasuk informasi versi berdasarkan tahun dan bulan mereka dirilis. Kebijakan keamanan standar default adalahIoTSecurityPolicy_TLS13_1_2_2022_10. Untuk menentukan kebijakan keamanan, Anda dapat menggunakan AWS IoT konsol atau AWS CLI. Untuk informasi selengkapnya, lihat Mengkonfigurasi TLS pengaturan dalam konfigurasi domain.
Tabel berikut menjelaskan kebijakan keamanan standar terbaru yang AWS IoT Core mendukung. IotSecurityPolicy_ telah dihapus dari nama kebijakan di baris judul agar sesuai.
| Kebijakan keamanan | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| TCPPelabuhan |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| TLSProtokol | |||||||
| TLS1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS1.3 | ✓ | ✓ | |||||
| TLSCipher | |||||||
| TLS_ AES GCM _128_ _ SHA256 | ✓ | ✓ | |||||
| TLS_ AES GCM _256_ _ SHA384 | ✓ | ✓ | |||||
| TLS_ CHACHA2 0_ 05_ POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
catatan
TLS12_1_0_2016_01hanya tersedia sebagai berikut Wilayah AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-north-1, cn-northwest-1, eu-north-1, eu-north-1, eu-west-2 st-2, eu-west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01hanya tersedia dalam hal berikut Wilayah AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-east-1, us-west-2.
Catatan penting untuk keamanan transportasi di AWS IoT Core
Untuk perangkat yang terhubung ke AWS IoT Core penggunaan MQTT, TLS mengenkripsi koneksi antara perangkat dan broker, dan AWS IoT Core menggunakan otentikasi TLS klien untuk mengidentifikasi perangkat. Untuk informasi selengkapnya, lihat Autentikasi klien. Untuk perangkat yang terhubung ke AWS IoT Core penggunaan HTTP, TLS mengenkripsi koneksi antara perangkat dan broker, dan otentikasi didelegasikan ke AWS Signature Version 4. Untuk informasi selengkapnya, lihat Menandatangani permintaan dengan Tanda Tangan Versi 4 di Referensi AWS Umum.
Saat Anda menghubungkan perangkat AWS IoT Core, mengirim ekstensi Server Name SNI Indication ()host_name host_nameBidang harus berisi titik akhir yang Anda panggil. Titik akhir itu harus salah satu dari yang berikut:
-
Yang
endpointAddressdikembalikan olehaws iot describe-endpoint--endpoint-type iot:Data-ATS -
Yang
domainNamedikembalikan olehaws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
Koneksi yang dicoba oleh perangkat dengan host_name nilai yang salah atau tidak valid akan gagal. AWS IoT Core akan mencatat kegagalan CloudWatch untuk jenis otentikasi Otentikasi Kustom.
AWS IoT Core tidak mendukung SessionTicket TLSekstensi
Keamanan transportasi untuk perangkat LoRa WAN nirkabel
LoRaWANperangkat mengikuti praktik keamanan yang dijelaskan dalam LoRaWAN™SECURITY: Buku Putih yang Disiapkan untuk LoRa Aliansi™ oleh Gemalto, Actility,
Untuk informasi selengkapnya tentang keamanan transportasi dengan LoRa WAN perangkat, lihat keamanan LoRa WAN data dan transportasi.
