Soporte de cifrado para AWS Transit Gateway - Amazon VPC
Transit Gateway Encryption Support y control de cifrado de VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Soporte de cifrado para AWS Transit Gateway

El soporte de cifrado de Transit Gateway te permite hacer cumplir encryption-in-transit todo el tráfico VPCs conectado a tu Transit Gateway. Cuando la función de cifrado esté habilitada en el TGW, el tráfico de la pasarela de tránsito se cifrará entre los VPCs que estén en modo obligatorio. El tráfico VPCs que no tenga los controles de cifrado activados o que esté en modo Monitor garantiza que TGW cifra el tráfico hasta el adjunto de TGW en la VPC. Más allá de eso, depende de la instancia a la que se envíe el tráfico en la VPC.

Transit Gateway Encryption Support y control de cifrado de VPC

Los controles de cifrado le permiten auditar el estado de cifrado de los flujos de tráfico en su VPC y, a continuación, encryption-in-transit aplicarlo a todo el tráfico de su VPC. Cuando se aplique la VPC EC, todas las interfaces de red elásticas (ENI) de esa VPC estarán restringidas para conectarse únicamente a instancias con capacidad de cifrado AWS Nitro; y solo los AWS servicios que cifran datos en tránsito podrán conectarse a la VPC forzada por CE.

Para admitir el cifrado de datos de extremo a extremo a VPCs través del TGW, la puerta de enlace de tránsito conectada a la VPC también debe tener habilitado Encryption Support. Transit Gateway le ofrece la opción de habilitar las encryption-in-transit funciones mediante el uso de instancias compatibles con el cifrado de AWS Nitro.

Solo puedes añadir soporte de cifrado a una pasarela de tránsito existente y no mientras estás creando una. A medida que el TGW pase a Encryption Support Enabled, no habrá tiempo de inactividad en el TGW ni en los archivos adjuntos. La migración es fluida y transparente, sin que se interrumpa el tráfico. Para conocer los pasos para modificar una pasarela de tránsito para añadir Encryption Support, consulteModificar un puerta de enlace de tránsito.

Requisitos

Antes de habilitar la compatibilidad con el cifrado en una pasarela de tránsito, asegúrese de que:

  • Todos los VPCs dispositivos conectados a la pasarela de tránsito deben estar en modo monitor

  • La pasarela de transporte público no tiene archivos adjuntos de Connect

  • La pasarela de transporte público no tiene archivos adjuntos de interconexión

  • La puerta de enlace de tránsito no tiene adjuntos de Network Firewall

  • La puerta de enlace de tránsito no tiene archivos adjuntos a un concentrador VPN

  • La pasarela de tránsito no tiene habilitadas las referencias a grupos de seguridad

  • La pasarela de tránsito no tiene habilitadas las funciones de multidifusión

nota

Puede activar Encryption Support en una Transit Gateway para cifrar el tráfico entre las VPCs que tengan los controles de cifrado activados (en modo Monitor o modo obligatorio). Para habilitar el cifrado en los dispositivos existentes TGWs que estén VPCs conectados a él, debe habilitar los controles de cifrado de la VPC en el modo Monitor en todos los dispositivos asociados VPCs antes de habilitar Encryption Support en el TGW. Una vez que TGW Encryption Support esté activado, podrá modificarlo VPCs para que cumpla con el modo Enforce. Los VPCs que no estén conectados y estén en modo obligatorio se pueden conectar a través de un TGW nuevo que tenga habilitado el soporte de cifrado.

Estados de Encryption Support

Una pasarela de tránsito puede tener uno de los siguientes estados de cifrado:

  • activación: la puerta de enlace de tránsito está habilitando el soporte de cifrado. Este proceso puede tardar hasta 14 días en completarse.

  • activado: la compatibilidad con el cifrado está habilitada en la pasarela de tránsito. Puede crear adjuntos de VPC con el control de cifrado aplicado.

  • inhabilitación: la pasarela de tránsito está inhabilitando la compatibilidad con el cifrado.

  • deshabilitado: el soporte de cifrado está deshabilitado en la pasarela de tránsito.

Reglas de anclaje de Transit Gateway

Cuando una pasarela de tránsito tiene habilitada la compatibilidad con el cifrado, se aplican las siguientes reglas de adjuntos:

  • Cuando el estado de cifrado de la puerta de enlace de tránsito esté activado o desactivado, puede crear adjuntos de Direct Connect, adjuntos de VPN y adjuntos de VPC que no estén en el modo obligatorio o obligatorio del Control de cifrado.

  • Cuando el estado de cifrado de la puerta de enlace de tránsito está habilitado, puede crear archivos adjuntos de VPC, archivos adjuntos de Direct Connect, archivos adjuntos de VPN y archivos adjuntos de VPC en cualquier modo de control de cifrado.

  • Cuando el estado de cifrado de la puerta de enlace de tránsito está deshabilitado, no puede crear nuevos adjuntos de VPC con el control de cifrado impuesto.

  • Encryption Support no admite los adjuntos de Connect, los adjuntos de interconexión, las referencias a grupos de seguridad y las funciones de multidifusión.

Si se intenta crear archivos adjuntos incompatibles, se producirá un error en la API.