SEC09-BP02 Aplicar a criptografia em trânsito - Pilar Segurança
Orientação de implementaçãoRecursos

SEC09-BP02 Aplicar a criptografia em trânsito

Aplique os requisitos de criptografia definidos com base em políticas, obrigações regulatórias e padrões da organização para cumprir os requisitos organizacionais, legais e de conformidade. Utilize somente protocolos com criptografia ao transmitir dados sigilosos para fora da sua nuvem privada virtual (VPC). A criptografia ajuda a manter a confidencialidade dos dados mesmo quando os dados passam por redes não confiáveis.

Resultado desejado: todos os dados devem ser criptografados em trânsito com pacotes de criptografia e protocolos TLS seguros. O tráfego de rede entre seus recursos e a Internet deve ser criptografado para reduzir o acesso não autorizado aos dados. O tráfego de rede exclusivamente em seu ambiente interno da AWS deve ser criptografado com TLS sempre que possível. A rede interna da AWS é criptografada por padrão e o tráfego de rede em uma VPC não pode ser adulterado nem interceptado a menos que uma parte não autorizada tenha obtido acesso ao recurso que esteja gerando o tráfego (como instâncias do Amazon EC2 e contêineres do Amazon ECS). Considere proteger o tráfego de rede para rede com uma rede privada virtual (VPN) IPsec.

Antipadrões comuns:

  • Utilizar versões obsoletas de SSL, TLS e componentes do pacote de criptografia (por exemplo, SSL v3.0, chaves RSA de 1024 bits e criptografia RC4).

  • Permitir tráfego não criptografado (HTTP) para ou de recursos voltados para o público.

  • Não monitorar e substituir certificados X.509 antes da validade.

  • Utilizar certificados X.509 autoassinados para TLS.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto

Orientação de implementação

Os serviços da AWS fornecem endpoints HTTPS usando TLS para comunicação, fornecendo criptografia em trânsito quando se comunicam com as APIs da AWS. Protocolos não seguros, como HTTP, podem ser auditados e bloqueados em uma VPC por meio do uso de grupos de segurança. Solicitações HTTP também podem ser redirecionadas automaticamente para HTTPS no Amazon CloudFront ou em um Application Load Balancer. Você tem controle total sobre seus recursos de computação para implementar a criptografia em trânsito em seus serviços. Além disso, você pode usar a conectividade VPN em sua VPC a partir de uma rede externa ou AWS Direct Connect para facilitar a criptografia do tráfego. Verifique se os seus clientes estão fazendo chamadas para APIs da AWS utilizando pelo menos TLS 1.2, pois a AWS tornará obsoleto o uso de TLS 1.0 e 1.1 em junho de 2023. Soluções de terceiros estão disponíveis no AWS Marketplace, caso você tenha requisitos especiais.

Etapas da implementação

  • Aplicar a criptografia em trânsito: os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure apenas um grupo de segurança para permitir o protocolo HTTPS a um Application Load Balancer ou instância do Amazon EC2.

  • Configurar protocolos seguros em serviços de borda: configure o HTTPS com Amazon CloudFront e utilize um perfil de segurança apropriado para seu procedimento de segurança e caso de uso.

  • Utilizar uma VPN para conectividade externa: considere usar uma VPN IPsec para proteger conexões ponto a ponto ou rede a rede para fornecer privacidade e integridade dos dados.

  • Configurar protocolos seguros em balanceadores de carga: selecione uma política de segurança que ofereça os pacotes de criptografia mais fortes compatíveis com os clientes que se conectarão ao receptor. Criar um receptor de HTTPS para seu Application Load Balancer.

  • Configurar protocolos seguros no Amazon Redshift: configure o cluster para exigir uma conexão Secure Socket Layer (SSL) ou Transport Layer Security (TLS).

  • Configurar protocolos seguros: leia a documentação do serviço da AWS para determinar os recursos de criptografia em trânsito.

  • Configurar o acesso seguro ao fazer upload para buckets do Amazon S3: utilize controles de política de bucket do Amazon S3 para implementar acesso seguro aos dados.

  • Considerar o uso do AWS Certificate Manager: o ACM permite fornecer, gerenciar e implantar certificados TLS públicos para uso com serviços da AWS.

  • Considerar o uso do AWS Private Certificate Authority para necessidades de PKI privada: o AWS Private CA permite criar hierarquias de autoridade de certificado privada (CA) para emitir certificados X.509 entidade final que podem ser usados para criar canais de TLS criptografados.

Recursos

Documentos relacionados: