Segurança da infraestrutura no Direct Connect

Por ser um serviço gerenciado, o AWS Direct Connect é protegido pelos procedimentos de segurança da rede global da AWS. Você usa chamadas de API publicadas do AWS para acessar a Direct Connect por meio da rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.2 ou posterior. Recomendamos o TLS 1.3. Os clientes também devem ter compatibilidade com conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece compatibilidade com esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Você pode chamar essas operações de API de qualquer local da rede, mas o Direct Connect oferece suporte a políticas de acesso com base em recursos, que podem incluir restrições com base no endereço IP de origem. Você também pode usar políticas do Direct Connect para controlar o acesso de Amazon Virtual Private Cloud (Amazon VPC) endpoints ou de VPCs específicas. Efetivamente, isso isola o acesso à rede para um determinado recurso do Direct Connect apenas da VPC específica dentro da rede da AWS. Por exemplo, consulte Exemplos de políticas baseadas em identidade para o Direct Connect.

Segurança do Protocolo de Gateway da Borda (BGP)

A Internet depende em grande parte do BGP para rotear informações entre sistemas de rede. Às vezes, o roteamento do BGP pode ser suscetível a ataques maliciosos ou a sequestro do BGP. Para entender como a AWS atua para proteger com mais segurança sua rede contra o sequestro do BGP, consulte Como a AWS está ajudando a proteger o roteamento da Internet.