SEC09-BP02 在传输过程中强制加密

实施您根据贵组织的政策、监管义务和标准定义的加密要求，以帮助满足组织、法律和合规性要求。在虚拟私有云之外传输敏感数据时，仅使用带加密功能的协议 (VPC)。即使在不可信的网络中传输数据，加密也有助于保持数据的机密性。

预期结果：所有数据在传输过程中都应使用安全TLS协议和密码套件进行加密。必须对资源和互联网之间的网络流量进行加密，以减少对数据的未经授权访问。应TLS尽可能使用加密仅在内部 AWS 环境内的网络流量。默认情况下， AWS 内部网络是加密的，除非未经授权的一方获得了对任何产生流量的资源（例如 Amazon 实例和 Amazon 容器）的访问权限EC2，否则VPC无法欺骗或嗅探内部的网络流量。ECS考虑使用IPsec虚拟专用网络保护 network-to-network流量 (VPN)。

常见反模式：

• 使用已弃用版本的SSLTLS、和密码套件组件（例如 SSL v3.0、1024 位RSA密钥和密码）。RC4

• 允许进出面向公众的资源的未加密 (HTTP) 流量。

• 未在 X.509 证书到期前监控和替换证书。

• 使用自签名 X.509 证书。TLS

在未建立这种最佳实践的情况下暴露的风险等级：高

实施指导

AWS 服务提供TLS用于通信的HTTPS端点，在与通信时提供传输中的加密 AWS APIs。VPC通过使用安全组，HTTP可以对诸如此类的不安全协议进行审计和阻止。HTTP请求也可以自动重定向到 Amazon CloudFront 或 App lication Load Balancer HTTPS 中。您可以完全控制计算资源，以便在整个服务中实施加密。此外，您还可以使用VPC从外部网络VPN连接到您的网络或AWS Direct Connect促进流量加密。验证您的客户是否在调 AWS APIs用至少 TLS 1.2，并在 2023 TLS年 6 月弃用早期版本的AWS 也是如此。 AWS 建议使用 TLS 1.3。 AWS Marketplace 如果您有特殊要求，可以在中使用第三方解决方案。

实施步骤

• 实施传输中加密：您定义的加密要求应基于最新的标准和最佳实践，且仅允许使用安全协议。例如，将安全组配置为仅允许应用程序负载均衡器或 Amazon EC2 实例使用该HTTPS协议。

• 在边缘服务中配置安全协议：使用 Amazon HTTPS 进行配置， CloudFront并使用适合您的安全状况和用例的安全配置文件。

• 使用VPN进行外部连接：考虑使用来保护 point-to-point或 network-to-network连接，以帮助提供数据隐私和完整性。IPsec VPN

• 在负载均衡器中配置安全协议：选择一个安全策略，该策略提供受客户端支持且将要连接到侦听器的强大密码套件。为您的 Application HTTPS Load Balancer 创建侦听器。

• 在 Amazon Redshift 中配置安全协议：将您的集群配置为需要安全套接字层 (SSL) 或传输层安全 (TLS) 连接。

• 配置安全协议：查看 AWS 服务文档以确定 encryption-in-transit功能。

• 上传到 Amazon S3 存储桶时配置安全访问：使用 Amazon S3 存储桶策略控制措施执行对数据的安全访问。

• 考虑使用 AWS Certificate Manager：ACM允许您预置、管理和部署用于 AWS 服务的公共TLS证书。

• 考虑使用AWS Private Certificate Authority以PKI满足私有需求： AWS Private CA 允许您创建私有证书颁发机构 (CA) 层次结构来颁发可用于创建加密通道的最终实体 X.509 证书。TLS

资源

相关文档：

• HTTPS与一起使用 CloudFront

• 使用 Connect VPC 将您的网络连接到远程网络 AWS Virtual Private Network

• 为您的 Applicati HTTPS on Load Balancer 创建侦听器

• 教程：TLS在亚马逊 Linux 上配置SSL/2

• 使用 SSL /加密TLS与数据库实例的连接

• 配置连接的安全选项