Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza dei trasporti in AWS IoT Core
<a name="transport-security"></a>

TLS (Transport Layer Security) è un protocollo di crittografia progettato per comunicazioni sicure su una rete di computer. Il AWS IoT Core Device Gateway richiede ai clienti di crittografare tutte le comunicazioni in transito utilizzando TLS per le connessioni dai dispositivi al Gateway. TLS viene utilizzato per garantire la riservatezza dei protocolli applicativi (MQTT, HTTP e) supportati da. WebSocket AWS IoT Core Il supporto TLS è disponibile in diversi linguaggi di programmazione e sistemi operativi. I dati all'interno AWS sono crittografati dal servizio specifico AWS . Per ulteriori informazioni sulla crittografia dei dati su altri AWS servizi, consulta la documentazione sulla sicurezza relativa a tale servizio.

**Topics**
+ [Protocolli TLS](#tls-ssl-policy)
+ [Policy di sicurezza](#tls-policy-table)
+ [Note importanti per la sicurezza dei trasporti in AWS IoT Core](#tls-ssl-core)
+ [Sicurezza del trasporto per dispositivi wireless LoRa WAN](#tls-lorawan)

## Protocolli TLS
<a name="tls-ssl-policy"></a>

AWS IoT Core supporta le seguenti versioni del protocollo TLS:
+ TLS 1.3 
+ TLS 1.2

Con AWS IoT Core, puoi configurare le impostazioni TLS (per TLS [1.2 e TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2) [1.3](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3)) nelle configurazioni di dominio. Per ulteriori informazioni, consulta [Configurazione delle impostazioni TLS nelle configurazioni di dominio](iot-endpoints-tls-config.md).

## Policy di sicurezza
<a name="tls-policy-table"></a>

Una policy di sicurezza è una combinazione di protocolli TLS e delle relative crittografie che determinano quali protocolli e crittografie sono supportati durante le negoziazioni TLS tra un client e un server. È possibile configurare i dispositivi per utilizzare policy di sicurezza predefinite in base alle esigenze. Tieni presente che AWS IoT Core non supporta politiche di sicurezza personalizzate.

Puoi scegliere una delle politiche di sicurezza predefinite per i tuoi dispositivi al momento della connessione a AWS IoT Core. I nomi delle politiche di sicurezza predefinite più recenti AWS IoT Core includono informazioni sulla versione basate sull'anno e sul mese in cui sono state rilasciate. La policy di sicurezza predefinita di default è `IoTSecurityPolicy_TLS13_1_2_2022_10`. Per specificare una politica di sicurezza, è possibile utilizzare la AWS IoT console o il AWS CLI. Per ulteriori informazioni, consulta [Configurazione delle impostazioni TLS nelle configurazioni di dominio](iot-endpoints-tls-config.md).

Nella seguente tabella vengono descritte le policy di sicurezza predefinite più recenti supportate da AWS IoT Core . `IotSecurityPolicy_` è stato rimosso dai nomi di policy nella riga dell'intestazione ai fini dell'adattamento.


| **Policy di sicurezza** | TLS13\$11\$13\$12022\$110 | TLS13\$11\$12\$12022\$110 | TLS12\$11\$12\$12022\$110 | TLS12\$11\$10\$12016\$101\$1 | TLS12\$11\$10\$12015\$101\$1 | 
| --- | --- | --- | --- | --- | --- | 
| Porta TCP |  443/8443/8883  |  443/8443/8883  |  443/8443/8883  | 443 | 8443/8883 | 443 | 8443/8883 | 
| Protocolli TLS | 
| TLS 1.2 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| TLS 1.3 | ✓ | ✓ |  |  |  |  |  | 
| Crittografie TLS | 
| TLS\$1AES\$1128\$1GCM\$1 SHA256 | ✓ | ✓ |  |  |  |  |  | 
| TLS\$1AES\$1256\$1GCM\$1 SHA384 | ✓ | ✓ |  |  |  |  |  | 
| TLS\$1 \$1 CHACHA20 POLY1305 SHA256 | ✓ | ✓ |  |  |  |  |  | 
| ECDHE-RSA- -GCM- AES128 SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDH-RSA- AES128 - SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- AES128 -SHA |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- AES256 -GCM- SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDH-RSA- AES256 - SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- AES256 -SHA |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES128-GCM- SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES128-SHA256 |  | ✓ | ✓ | ✓ |  | ✓ | ✓ | 
| AES128-SHA |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES256-GCM- SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES256-SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES256-SHA |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| SHE-RSA- -SHA AES256 |  |  |  |  |  | ✓ | ✓ | 
| ECDHE-ECDSA- AES128 -GCM- SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECSA- - AES128 SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- -SHA AES128 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- -GCM- AES256 SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECSA- - AES256 SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- -SHA AES256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 

**Nota**  
`TLS12_1_0_2016_01`è disponibile solo nelle seguenti versioni Regioni AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-west-2, eu-west-3, me-3 -sud-1, sa-est-1, us-est-2, -1, -2, us-west-1. us-gov-west us-gov-west  
`TLS12_1_0_2015_01`è disponibile solo nelle seguenti versioni Regioni AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2.

## Note importanti per la sicurezza dei trasporti in AWS IoT Core
<a name="tls-ssl-core"></a>

Per i dispositivi che si connettono AWS IoT Core tramite [MQTT](https://docs.aws.amazon.com//iot/latest/developerguide/mqtt.html), TLS crittografa la connessione tra i dispositivi e il broker e AWS IoT Core utilizza l'autenticazione del client TLS per identificare i dispositivi. Per ulteriori informazioni, consultare [Autenticazione client](https://docs.aws.amazon.com//iot/latest/developerguide/client-authentication.html). Per i dispositivi che si connettono AWS IoT Core tramite [HTTP](https://docs.aws.amazon.com//iot/latest/developerguide/http.html), TLS crittografa la connessione tra i dispositivi e il broker e l'autenticazione è delegata alla versione 4 di Signature. AWS Per ulteriori informazioni, consultare [Firma delle richieste con Signature Version 4](https://docs.aws.amazon.com//general/latest/gr/create-signed-request.html) nella *documentazione generale di riferimento di AWS *.

Quando si connettono dispositivi a AWS IoT Core, l'invio dell'[estensione Server Name Indication (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) non è necessario, ma è altamente consigliato. Per utilizzare funzionalità come la [registrazione di più account](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html#multiple-account-cert), i [domini personalizzati](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable-custom.html), gli [endpoint VPC](https://docs.aws.amazon.com//iot/latest/developerguide/IoTCore-VPC.html) e [le politiche TLS configurate](https://docs.aws.amazon.com//iot/latest/developerguide/iot-endpoints-tls-config.html), è necessario utilizzare l'estensione SNI e fornire l'indirizzo completo dell'endpoint sul campo. `host_name` Il campo `host_name` deve contenere l'endpoint che si sta chiamando. Tale endpoint deve essere uno dei seguenti:
+ Il valore `endpointAddress` restituito da `aws iot [describe-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-endpoint.html) --endpoint-type iot:Data-ATS`
+ Il valore `domainName` restituito da `aws iot [describe-domain-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-domain-configuration.html) –-domain-configuration-name "domain_configuration_name"`

I tentativi di connessione effettuati da dispositivi con un valore errato o non valido falliranno. `host_name` AWS IoT Core [registrerà gli errori utilizzando il tipo CloudWatch di autenticazione Custom Authentication.](https://docs.aws.amazon.com//iot/latest/developerguide/custom-authentication.html)

AWS IoT Core non supporta l'estensione [SessionTicket TLS.](https://www.ietf.org/rfc/rfc5077.txt)

## Sicurezza del trasporto per dispositivi wireless LoRa WAN
<a name="tls-lorawan"></a>

LoRaI dispositivi WAN seguono le pratiche di sicurezza descritte in [LoRaWAN™ SECURITY: A White Paper Prepared for the LoRa Alliance™ di Gemalto, Actility e Semtech](https://lora-alliance.org/sites/default/files/2019-05/lorawan_security_whitepaper.pdf). 

Per ulteriori informazioni sulla sicurezza del trasporto con i dispositivi LoRa WAN, consulta Sicurezza [dei dati e del trasporto LoRa WAN](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/iot-lorawan-security.html).