SEC09-BP02 Applicazione della crittografia dei dati in transito - Pilastro della sicurezza
Guida all'implementazioneRisorse

SEC09-BP02 Applicazione della crittografia dei dati in transito

Applica i requisiti di crittografia definiti in base alle policy, agli obblighi normativi e agli standard dell'organizzazione per contribuire a soddisfare i requisiti organizzativi, legali e di conformità. Utilizza solo protocolli con crittografia quando trasmetti dati sensibili al di fuori del tuo cloud privato virtuale (VPC). La crittografia aiuta a mantenere la riservatezza dei dati anche quando questi transitano su reti non affidabili.

Risultato desiderato: tutti i dati devono essere crittografati in transito utilizzando protocolli e suite di crittografia TLS sicuri. Il traffico di rete tra le tue risorse e Internet deve essere crittografato per evitare l'accesso non autorizzato ai dati. Il traffico di rete esclusivamente all'interno dell'ambiente AWS deve essere crittografato utilizzando TLS, ove possibile. La rete interna di AWS è crittografata per impostazione predefinita e il traffico di rete all'interno di un VPC non può essere sottoposto a spoofing o sniffing, a meno che una parte non autorizzata non abbia ottenuto l'accesso alla risorsa che sta generando il traffico (come le istanze Amazon EC2 e i container Amazon ECS). Considera la possibilità di proteggere il traffico da rete a rete con una rete privata virtuale (VPN) IPsec.

Anti-pattern comuni:

  • Utilizzo di versioni obsolete di SSL, TLS e componenti della suite di crittografia (ad esempio, SSL v3.0, chiavi RSA a 1024 bit e crittografia RC4).

  • Autorizzazione del traffico non criptato (HTTP) verso o da risorse pubbliche.

  • Monitoraggio e sostituzione mancati dei certificati X.509 prima della scadenza.

  • Utilizzo di certificati X.509 autofirmati per TLS.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

I servizi AWS forniscono endpoint HTTPS utilizzando TLS per le comunicazioni e forniscono crittografia in transito quando comunicano con le API AWS. I protocolli non sicuri, come HTTP, possono essere sottoposti a audit e bloccati in un VPC tramite l'uso di gruppi di sicurezza. Le richieste HTTP possono essere reindirizzate automaticamente a HTTPS in Amazon CloudFront o su un Application Load Balancer. Hai il controllo completo sulle tue risorse informatiche per implementare la crittografia in transito nei tuoi servizi. Inoltre, puoi utilizzare la connettività VPN nel VPC da una rete esterna o AWS Direct Connect per facilitare la crittografia del traffico. Verifica che i tuoi client effettuino chiamate alle API AWS utilizzando almeno TLS 1.2, poiché AWS considererà obsoleto l'utilizzo di TLS 1.0 e 1.1 da giugno 2023. Per requisiti particolari, in Marketplace AWS sono disponibili soluzioni di terze parti.

Passaggi dell'implementazione

  • Applicazione della crittografia in transito: i requisiti di crittografia definiti devono essere basati sugli standard e sulle best practice più recenti e consentire solo protocolli sicuri. Ad esempio, configura un gruppo di sicurezza per consentire solo il protocollo HTTPS a un Application Load Balancer o a un'istanza Amazon EC2.

  • Configura i protocolli sicuri nei servizi edge: configura HTTPS con Amazon CloudFront e utilizza un profilo di sicurezza appropriato per la postura di sicurezza e il caso d'uso.

  • Utilizza una VPN per la connettività esterna: valuta l'impiego di una VPN IPsec per la protezione delle connessioni punto a punto o rete a rete al fine di garantire la riservatezza e l'integrità dei dati.

  • Configura protocolli sicuri nei sistemi di bilanciamento del carico: seleziona una policy di sicurezza che fornisca le suite di crittografia più efficaci supportate dai client che si connetteranno all'ascoltatore. Configurazione di un ascoltatore HTTPS per Application Load Balancer.

  • Configura protocolli sicuri in Amazon Redshift: configura il cluster per richiedere una connessione Secure Socket Layer (SSL) o Transport Layer Security (TLS).

  • Configura protocolli sicuri: analizza la documentazione relativa al servizio AWS per determinare le capacità di crittografia in transito.

  • Configura l'accesso sicuro durante il caricamento di bucket Amazon S3: utilizza i controlli delle policy del bucket Amazon S3 per applicare l'accesso sicuro ai dati.

  • Valuta l'utilizzo di AWS Certificate Manager: ACM consente di fornire, gestire e implementare certificati TLS pubblici da utilizzare con i servizi AWS.

  • Valuta l'utilizzo di AWS Private Certificate Authority per esigenze di PKI private: AWS Private CA consente di creare gerarchie di autorità di certificazione (CA) private per emettere certificati X.509 end-entity che possono essere usati per creare canali TLS crittografati.

Risorse

Documenti correlati: