As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança de transporte em AWS IoT Core
TLS(Transport Layer Security) é um protocolo criptográfico projetado para comunicação segura em uma rede de computadores. O AWS IoT Core Device Gateway exige que os clientes criptografem todas as comunicações enquanto estão em trânsito usando conexões TLS de dispositivos com o Gateway. TLSé usado para obter a confidencialidade dos protocolos de aplicação (MQTT,HTTP, e WebSocket) suportados pelo AWS IoT Core. TLSo suporte está disponível em várias linguagens de programação e sistemas operacionais. Os dados AWS internos são criptografados pelo AWS serviço específico. Para obter mais informações sobre criptografia de dados em outros AWS serviços, consulte a documentação de segurança desse serviço.
Conteúdo
TLSprotocolos
AWS IoT Core suporta as seguintes versões do TLS protocolo:
-
TLS1.3
-
TLS1.2
Com AWS IoT Core, você pode definir as TLS configurações (para TLS1.2
Políticas de segurança
Uma política de segurança é uma combinação de TLS protocolos e suas cifras que determinam quais protocolos e cifras são suportados durante TLS as negociações entre um cliente e um servidor. Você pode configurar seus dispositivos para usar políticas de segurança predefinidas com base em suas necessidades. Observe que isso AWS IoT Core não oferece suporte a políticas de segurança personalizadas.
Você pode escolher uma das políticas de segurança predefinidas para seus dispositivos ao conectá-los a. AWS IoT Core Os nomes das políticas de segurança predefinidas mais recentes AWS IoT Core incluem informações de versão com base no ano e mês em que foram lançadas. A política de segurança padrão predefinida é IoTSecurityPolicy_TLS13_1_2_2022_10. Para especificar uma política de segurança, você pode usar o AWS IoT console ou AWS CLI o. Para obter mais informações, consulte Definindo configurações TLS nas configurações de domínio.
A tabela a seguir descreve as políticas de segurança predefinidas mais recentes compatíveis com o AWS IoT Core . O IotSecurityPolicy_ foi removido dos nomes de política na linha de cabeçalho para que se ajustem ao espaço.
| Política de segurança | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| TCPPorto |
443/8443/883 |
443/8443/883 |
443/8443/883 |
443 | 8443/883 | 443 | 8443/883 |
| TLSProtocolos | |||||||
| TLS1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS1.3 | ✓ | ✓ | |||||
| TLSCifras | |||||||
| TLS_ AES GCM _128_ _ SHA256 | ✓ | ✓ | |||||
| TLS_ AES GCM _256_ _ SHA384 | ✓ | ✓ | |||||
| TLS_ CHACHA2 0_ 05_ POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
nota
TLS12_1_0_2016_01só está disponível no seguinte Regiões da AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-lest-1, us-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01só está disponível no seguinte Regiões da AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-west-2.
Notas importantes para a segurança do transporte no AWS IoT Core
Para dispositivos que se conectam ao AWS IoT Core uso MQTT, TLS criptografa a conexão entre os dispositivos e o agente e AWS IoT Core usa a autenticação TLS do cliente para identificar os dispositivos. Para obter mais informações, consulte Autenticação do cliente. Para dispositivos que se conectam ao AWS IoT Core uso HTTP, TLS criptografa a conexão entre os dispositivos e o agente, e a autenticação é delegada à AWS Signature Version 4. Para obter mais informações, consulte Assinatura de solicitações com o SignatAre Versão 4 na Referência geral da AWS .
Quando você conecta dispositivos ao AWS IoT Core, o envio da extensão Server Name Indication (SNI)host_name O campo host_name deve conter o endpoint que você está chamando. Esse endpoint deve ser um dos seguintes:
-
O
endpointAddressretornado poraws iot describe-endpoint--endpoint-type iot:Data-ATS -
O
domainNameretornado poraws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
As conexões tentadas por dispositivos com o host_name valor incorreto ou inválido falharão. AWS IoT Core registrará falhas no tipo de CloudWatch autenticação da Autenticação Personalizada.
AWS IoT Core não suporta a SessionTicket TLSextensão
Segurança de transporte para dispositivos LoRa WAN sem fio
LoRaWANos dispositivos seguem as práticas de segurança descritas em LoRaWAN™SECURITY: Um Livro Branco Preparado para a LoRa Aliança™ pela Gemalto, Actility e Semtech
Para obter mais informações sobre segurança de transporte com LoRa WAN dispositivos, consulte segurança de LoRa WAN dados e transporte.
