AWS IoT Core의 전송 보안

TLS (전송 계층 보안) 는 컴퓨터 네트워크를 통한 보안 통신을 위해 설계된 암호화 프로토콜입니다. AWS IoT Core디바이스 게이트웨이를 사용하려면 고객이 디바이스에서 게이트웨이로의 연결에 TLS를 사용하여 전송 중인 모든 통신을 암호화해야 합니다. TLS는 에서 지원하는 애플리케이션 프로토콜 (MQTT, HTTP 및 WebSocket) 의 기밀성을 유지하기 위해 사용됩니다AWS IoT Core. TLS 지원은 다수의 프로그래밍 언어 및 운영 체제를 지원합니다. AWS의 데이터는 특정 AWS 서비스에 의해 암호화됩니다. 다른 AWS 서비스의 데이터 암호화에 대한 자세한 내용은 해당 서비스의 보안 설명서를 참조하세요.

TLS 프로토콜

AWS IoT Core다음 버전의 TLS 프로토콜을 지원합니다.

• TLS 1.3

• TLS 1.2

• TLS 1.1 (권장되지 않음)

• TLS 1.0 (권장되지 않음)

를 사용하여AWS IoT Core 도메인 구성에서 TLS 설정 (TLS 1.2 및 TLS 1.3용) 을 구성할 수 있습니다. 자세한 정보는 도메인 구성에서 TLS 설정 구성을 참조하세요.

보안 정책

보안 정책은 클라이언트와 서버 간의 TLS 협상 중에 지원되는 프로토콜 및 암호를 결정하는 TLS 프로토콜과 해당 암호의 조합입니다. 필요에 따라 미리 정의된 보안 정책을 사용하도록 장치를 구성할 수 있습니다. 참고: 사용자 지정 보안 정책은 지원되지AWS IoT Core 않습니다.

디바이스를 연결할 때 디바이스에 대한 사전 정의 보안 정책 중 하나를 선택할 수AWS IoT Core 있습니다. 에 사전 정의된 가장 최근의 보안 정책의AWS IoT Core 이름에는 출시된 연과 월에 따른 버전 정보가 포함되어 있습니다. 기본 사전 정의 보안 정책은 입니다IoTSecurityPolicy_TLS13_1_2_2022_10. 보안 정책을 지정하려면AWS IoT 콘솔이나 를 사용할 수AWS CLI 있습니다. 자세한 정보는 도메인 구성에서 TLS 설정 구성을 참조하세요.

아래 표에는AWS IoT Core 지원되는 가장 최근의 사전 정의 보안 정책이 설명되어 있습니다. IotSecurityPolicy_가 제목 행의 정책 이름에서 제거되어 해당 위치에 맞게 조정되었습니다.

보안 정책	TLS13_1_3_2022_10	TLS13_1_2_2022_10	TLS12_1_2_2022_10	TLS12_1_0_2016_01*		TLS12_1_0_2015_01*
TCP 포트	443/8443/8883	443/8443/8883	443/8443/8883	443	8443/8883	443	8443/8883
TLS 프로토콜
TLS 1.0				✓		✓
TLS 1.1				✓		✓
TLS 1.2		✓	✓	✓	✓	✓	✓
TLS 1.3	✓	✓
TLS 암호
TLS_AES_128_GCM_SHA256	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓
TLS_CHACHA20_POLY1305_SHA256	✓	✓
ECDHE-RSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256		✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA		✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384		✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA		✓	✓	✓	✓	✓	✓
AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓
AES128-SHA256		✓	✓	✓		✓	✓
AES128-SHA		✓	✓	✓	✓	✓	✓
AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓
AES256-SHA256		✓	✓	✓	✓	✓	✓
AES256-SHA		✓	✓	✓	✓	✓	✓
DHE-RSA-AES256-SHA						✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256		✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA		✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384		✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA		✓	✓	✓	✓	✓	✓

참고

TLS12_1_0_2016_01ap-east-1, us-east-2, ap-northeast-2, ap-northeast-2, us-west-1, us-west-1, us-east-1, eu-northeast-1, eu-northeast-1, eu-west-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-east-2, us-gov-west us-east-2, us-gov-west us-east-2, us-east-2, us-east-2,AWS 리전

TLS12_1_0_2015_01ap-northeast-1, us-west-1, us-west-1, us-west-1, us-west-1, us-west-1, us-west-2, us-west-2, us-west-2, us-west-2, us-west-2, eu-west-2, eu-west-2, eu-west-2, eu-west-2, eu-west-2,AWS 리전

의 전송 보안을 위한 중요 참고 사항AWS IoT Core

AWS IoT CoreMQTT를 사용하여 연결하는 장치의 경우 TLS는 장치와 브로커 간의 연결을 암호화하고 TLS 클라이언트 인증을AWS IoT Core 사용하여 장치를 식별합니다. 자세한 내용은 클라이언트 인증을 참조하세요. HTTP를AWS IoT Core 사용하여 연결하는 장치의 경우 TLS는 장치와 브로커 간의 연결을 암호화하고 인증은AWS 서명 버전 4에 위임됩니다. 자세한 내용은 AWSGeneral Seference서명 버전 4를 사용하여 요청에 서서서서서서서서명을 4를 사용하여 요청에 서서서서서

AWS IoT Core를 사용하려면 디바이스가 TLS 프로토콜로 SNI (서버 이름 표시) 확장 을 전송하고host_name 필드에 전체 엔드포인트 주소를 제공해야 합니다. host_name필드에는 호출하는 엔드포인트가 포함되어야 합니다. 해당 엔드포인트는 다음 중 하나여야 합니다.

• aws iot describe-endpoint --endpoint-type iot:Data-ATS에서 반환한 endpointAddress

• aws iot describe-domain-configuration –-domain-configuration-name "domain_configuration_name"에서 반환한 domainName

올바른host_name 값 없이 디바이스에서 시도하는 연결은 실패합니다. AWS IoT Core사용자 지정 인증의 인증 유형에 CloudWatch 대한 실패를 기록합니다.

AWS IoT CoreSessionTicket TLS 확장을 지원하지 않습니다.

LoRaWAN 무선 디바이스를 위한 전송 보안

LoRaWAN 디바이스는 LoRaWAN™ SECURITY: LoRa Alliance를 위해 준비한 백서™ 에 설명된 보안 사례를 따릅니다.

LoRaWAN 디바이스를 사용한 전송 보안에 대한 자세한 내용은 단원을 참조하세요AWS IoT Core for LoRaWAN에서 데이터 보안.