Aplicar a criptografia de VPC em trânsito
Os controles de criptografia de VPC são um recurso de segurança e conformidade que oferece controle de autorização centralizado para monitorar o status de criptografia de seus fluxos de tráfego, ajuda a identificar recursos que permitem a comunicação em texto não criptografado e, eventualmente, fornece mecanismos para aplicar a criptografia em trânsito dentro e entre suas VPCs em uma região
Os controles de criptografia de VPC usam a criptografia na camada de aplicação e a capacidade integrada de criptografia em trânsito do hardware do sistema AWS nitro para garantir a aplicação da criptografia. Esse recurso também estende a criptografia nativa da camada de hardware além das instâncias modernas do Nitro para outros serviços da AWS, incluindo Fargate, Application Load Balancer, Transit Gateways e muitos outros.
O recurso foi desenvolvido para qualquer pessoa que queira garantir a visibilidade e o controle do status de criptografia de todo o tráfego. É especialmente útil em setores nos quais a criptografia de dados é fundamental para atender aos padrões de conformidade, como HIPAA, FedRAMP e PCI DSS. Administradores de segurança e arquitetos de nuvem podem usá-lo para exercer centralmente a criptografia em políticas de trânsito em todo o ambiente da AWS
Esse recurso pode ser usado em dois modos: modo de monitoramento e modo de imposição.
Modos dos controles de criptografia
Modo monitorado
No modo de monitoramento, os controles de criptografia fornecem visibilidade do status de criptografia dos fluxos de tráfego entre seus recursos da AWS dentro e entre as VPCs. Eles também ajudam a identificar recursos da VPC que não estão aplicando criptografia em trânsito. Você pode configurar seus registros de fluxo de VPC para emitir o campo aprimorado (encryption-status) que informa se seu tráfego está criptografado. Você também pode usar o console ou o comando GetVpcResourcesBlockingEncryptionEnforcement para identificar os recursos que não estão aplicando a criptografia em trânsito.
nota
As VPCs existentes só podem ser habilitadas primeiro no modo de monitoramento. Isso dá a você visibilidade dos recursos que são ou podem permitir o tráfego de texto não criptografado. Você só pode ativar o modo de imposição na sua VPC quando esses recursos começarem a aplicar a criptografia (ou você criar exclusões para eles).
Modo de imposição
No modo de imposição, os controles de criptografia de VPC impedem que você use quaisquer recursos ou serviços que permitam tráfego não criptografado dentro dos limites da VPC. Você não pode habilitar os controles de criptografia no modo de imposição diretamente nas suas VPCs existentes. Primeiro, você deve ativar os controles de criptografia no modo de monitoramento, identificar e modificar os recursos não compatíveis para impor a criptografia em trânsito e, em seguida, ativar o modo de imposição. No entanto, você pode ativar os controles de criptografia no modo de imposição para novas VPCs durante a criação.
Quando habilitado, o modo de imposição impede que você crie ou anexe recursos de VPC não criptografados, como instâncias EC2 antigas que não oferecem suporte à criptografia integrada nativa, ou gateways de internet etc. Se você quiser executar um recurso não compatível em uma VPC com criptografia imposta, deverá criar uma exclusão para esse recurso.
Monitoramento do status de criptografia de fluxos de tráfego
Você pode auditar o status de criptografia dos fluxos de tráfego dentro da VPC usando o campo encryption-status nos seus registros de fluxo da VPC. Ele pode ter os seguintes valores:
-
0= não criptografado -
1= criptografado por nitro (gerenciado pelos controles de criptografia de VPC) -
2= criptografado por aplicação-
fluxos na porta TCP 443 para o endpoint de interface para o serviço da AWS*
-
fluxos na porta TCP 443 para o endpoint do gateway *
-
fluxos para um cluster Redshift criptografado via endpoint da VPC **
-
-
3= criptografado por nitro E por aplicação -
(-)= status de criptografia desconhecido ou os controles de criptografia de VPC estão desativados
Nota:
* Para endpoints de interface e gateway, a AWS não examina os dados do pacote para determinar o status da criptografia; em vez disso, confiamos na porta usada para assumir o status da criptografia.
** Para endpoints especificados, gerenciados pela AWS, a AWS determina o status da criptografia com base no requisito de TLS na configuração do serviço.
Limitações do log de fluxo da VPC
-
Para habilitar os logs de fluxo para controles de criptografia de VPC, você precisa criar novos logs de fluxo com o campo de status de criptografia manualmente. O campo de status de criptografia não é adicionado automaticamente aos registros de fluxo existentes.
-
É recomendável adicionar os campos ${traffic-path} e ${flow-direction} aos logs de fluxo para obter informações mais detalhadas nos logs de fluxo.
Exemplo:
aws ec2 create-flow-logs \ --resource-type VPC \ --resource-ids vpc-12345678901234567 \ --traffic-type ALL \ --log-group-name my-flow-logs \ --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs --log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
Exclusões de controles de criptografia de VPC
O modo de imposição dos controles de criptografia de VPC exige que todos os seus recursos na VPC apliquem a criptografia. Isso garante a criptografia dentro da AWS em uma região. No entanto, você pode ter recursos como gateway da internet, gateway NAT ou gateway privado virtual que permitem conectividade fora das redes da AWS nas quais você é responsável por configurar e manter a criptografia de ponta a ponta. Para executar esses recursos em VPCs com criptografia aplicada, você pode criar exclusões de recursos. Uma exclusão cria uma exceção auditável para recursos em que o cliente é responsável por manter a criptografia (normalmente na camada da aplicação).
Há apenas 8 exclusões suportadas para controles de criptografia de VPC. Se você tiver esses recursos em sua VPC e quiser passar para o modo de imposição, deverá adicionar essas exclusões ao alternar do modo de monitoramento para o modo de imposição. Nenhum outro recurso é excluível. Você pode migrar sua VPC para o modo de imposição criando exclusões para esses recursos. Você é responsável pela criptografia dos fluxos de tráfego de e para esses recursos.
-
Gateway da Internet
-
NAT Gateway
-
Gateway da internet somente de saída
-
Conexões de emparelhamento de VPC para VPCs não impostas com criptografia (consulte a seção de suporte de emparelhamento de VPC para ver cenários detalhados)
-
Gateway privado virtual
-
Funções Lambda dentro da sua VPC
-
VPC Lattice
-
Elastic File System
Fluxo de trabalho da implementação
-
Ativar monitoramento: crie um controle de criptografia de VPC no modo de monitoramento
-
Analisar tráfego: revise os logs de fluxo para monitorar o status de criptografia do fluxo de tráfego
-
Analisar recursos: use o console ou o comando
GetVpcResourcesBlockingEncryptionEnforcementpara identificar os recursos que não estão aplicando a criptografia em trânsito -
Preparar [Opcional]: planeje as migrações de recursos e as exclusões necessárias se quiser ativar o modo de imposição
-
Impor [Opcional]: alterne para o modo de imposição com as exclusões necessárias configuradas
-
Auditar: monitoramento contínuo da conformidade por meio de logs de fluxo
Para obter instruções detalhadas de configuração, consulte a postagem de blog Apresentando os controles de criptografia da VPC: imponha a criptografia em trânsito dentro e entre as VPCs em uma região
Estados de controles de criptografia de VPC
Os controles de criptografia de VPC podem ter um dos seguintes estados:
- criando
-
Os controles de criptografia de VPC estão sendo criados na VPC.
- modify-in-progress
-
Os controles de criptografia de VPC estão sendo modificados na VPC
- excluindo
-
Os controles de criptografia de VPC estão sendo excluídos na VPC
- available
-
Os controles de criptografia de VPC tiveram sucesso na implementação do modo de monitoramento ou do modo de imposição na VPC
Suporte de serviço da AWS e compatibilidade
Para ser compatível com a criptografia, um recurso deve sempre aplicar a criptografia em trânsito, seja na camada de hardware ou na camada de aplicação. Para a maioria dos recursos, nenhuma ação será necessária da sua parte.
Serviços com conformidade automática
A maioria dos serviços da AWS suportados pelo PrivateLink, incluindo os PrivateLinks entre regiões, aceitará tráfego criptografado na camada da aplicação. Você não precisa fazer nenhuma alteração nesses recursos. A AWS descarta automaticamente qualquer tráfego que não esteja criptografado na camada da aplicação. Algumas exceções incluem clusters do Redshift (provisionados e sem servidor, nos quais você precisa migrar manualmente os recursos subjacentes)
Recursos que migram automaticamente
Os balanceadores de carga de rede, os balanceadores de carga de aplicação, os clusters Fargate e o ambiente de gerenciamento do EKS migrarão automaticamente para um hardware que ofereça suporte nativo à criptografia quando você ativar o modo de monitoramento. Você não precisa fazer nenhuma alteração nesses recursos. A AWS lida com a migração automaticamente.
Recursos que exigem migração manual
Alguns recursos e serviços de VPC exigem que você selecione os tipos de instância subjacentes. Todas as instâncias do EC2 modernas são compatíveis com a criptografia em trânsito. Você não precisa fazer nenhuma alteração se seus serviços já usam instâncias do EC2 modernas. Você pode usar o console ou o comando GetVpcResourcesBlockingEncryptionEnforcement para identificar se algum desses serviços está usando instâncias mais antigas. Se você identificar esses recursos, deverá atualizá-los para qualquer uma das instâncias modernas do EC2 que ofereça suporte à criptografia nativa do hardware do sistema nitro. Esses serviços incluem instâncias do EC2, grupos de Auto Scaling, RDS (todos os bancos de dados e bancos de dados de documentos), ElastiCache provisionado, clusters provisionados do Amazon Redshift, EKS, ECS-EC2, OpenSearch provisionado e EMR.
Recursos compatíveis:
Os recursos a seguir são compatíveis com os controles de criptografia de VPC:
-
Balanceadores de carga de rede (com limitações)
-
Application Load Balancers
-
Clusters do AWS Fargate
-
Amazon Elastic Kubernetes Service (EKS)
-
Grupos de Auto Scaling do Amazon EC2
-
Amazon Relational Database Service (RDS - Todos os bancos de dados)
-
Clusters baseados em nós do Amazon ElastiCache
-
Clusters sem servidor e provisionados do Amazon Redshift
-
Amazon Elastic Container Service (ECS): instâncias de contêiner do EC2
-
Amazon OpenSearch Service
-
Amazon Elastic MapReduce (EMR)
-
Amazon Managed Streaming for Apache Kafka (Amazon MSK)
-
Os controles de criptografia de VPC impõem a criptografia na camada da aplicação para todos os serviços da AWS acessados via PrivateLink. Qualquer tráfego que não seja criptografado na camada da aplicação é descartado pelos endpoints do PrivateLink hospedados dentro da VPC com controles de criptografia no modo de imposição
Limites específicos do serviço
Limitações do Network Load Balancer
Configuração de TLS: não é possível usar um receptor de TLS para descarregar o trabalho de criptografia e descriptografia no seu balanceador de carga ao impor os controles de criptografia na VPC em questão. No entanto, você pode configurar seus alvos para realizar criptografia e descriptografia TLS.
Provisionamento por Redshift e sem servidor
Os clientes não podem passar para o modo de imposição em uma VPC que tenha um cluster/endpoint existente. Para usar os controles de criptografia de VPC com o Redshift, você deve restaurar seu cluster ou namespace a partir de um snapshot. Para clusters provisionados, crie um snapshot do seu cluster existente do Redshift e, em seguida, restaure a partir do snapshot usando a operação de restauração do snapshot do cluster. Para tecnologia sem servidor, crie um snapshot do seu namespace existente e, em seguida, restaure a partir do snapshot usando a operação de restauração do snapshot em seu grupo de trabalho sem servidor. Observe que os controles de criptografia de VPC não podem ser habilitados em clusters ou namespaces existentes sem realizar o processo de snapshot e restauração. Consulte a documentação do Amazon Redshift para criar snapshots.
Amazon MSK (Managed Streaming for Apache Kafka)
Essa funcionalidade é compatível com novos clusters do 4.1 em sua própria VPC. As etapas a seguir ajudarão você a usar a criptografia de VPC com o MSK.
-
O cliente habilita a criptografia de VPC em uma VPC sem outros clusters MSK
-
O cliente cria um cluster com o Kafka versão 4.1 e o tipo de instância como M7g
Limitações de região e zona
-
Sub-redes de zona local: não suportadas no modo de imposição; devem ser excluídas da VPC
Suporte a emparelhamento de VPC
Para garantir a criptografia em trânsito com o emparelhamento de VPC entre duas VPCs, as duas VPCs devem residir na mesma região e ter os controles de criptografia ativados no modo de imposição sem nenhuma exclusão. Você deve criar uma exclusão de emparelhamento se quiser emparelhar uma VPC com criptografia imposta a outra VPC que resida em uma região diferente ou que não tenha controles de criptografia habilitados no modo de imposição (sem exclusões).
Se duas VPCs estiverem no modo de imposição e emparelhadas uma com a outra, você não poderá alterar o modo de imposição para monitoramento. Você precisaria primeiro criar uma exclusão de emparelhamento, antes de modificar o modo dos controles de criptografia de VPC para monitoramento.
Suporte à criptografia do Transit Gateway
Você deve habilitar explicitamente o suporte à criptografia em um Transit Gateway para criptografar o tráfego entre suas VPCs que têm controles de criptografia ativados. Habilitar a criptografia no Transit Gateway existente não interrompe os fluxos de tráfego existentes, e a migração de anexos de VPC para faixas criptografadas ocorrerá de forma perfeita e automática. O tráfego entre duas VPCs no modo de imposição (sem exclusões) por meio do Transit Gateway atravessa faixas 100% criptografadas. A criptografia no Transit Gateway também permite que você conecte duas VPCs que estão em modos diferentes de controles de criptografia. Você deve usá-lo quando quiser impor controles de criptografia em uma VPC conectada a uma VPC sem imposição de criptografia. Nesse cenário, todo o tráfego dentro da sua VPC com criptografia imposta, incluindo o tráfego entre VPC, é criptografado. O tráfego entre VPCs é criptografado entre os recursos na VPC com criptografia imposta e no Transit Gateway. Além disso, a criptografia depende dos recursos para onde o tráfego está indo na VPC não imposta e não tem garantias de ser criptografada (já que a VPC não está no modo de imposição). Todas as VPCs devem estar na mesma região (veja os detalhes aqui).
-
Neste diagrama, a VPC 1, a VPC 2 e a VPC3 têm controles de criptografia no modo de imposição e estão conectadas à VPC 4, que tem controles de criptografia em execução no modo de monitoramento.
-
Todo o tráfego entre as VPC 1, VPC 2 e VPC 3 será criptografado.
-
Para explicar melhor, qualquer tráfego entre um recurso na VPC 1 e um recurso na VPC 4 será criptografado até o Transit Gateway usando a criptografia oferecida pelo hardware do sistema nitro. Além disso, o status da criptografia depende do recurso na VPC 4 e não é garantido que seja criptografado.
Para obter mais detalhes sobre o suporte à criptografia do Transit Gateway, consulte a documentação do Transit Gateway.
Preços
Para ter informações sobre preço, consulte Preços da Amazon VPC
AWS CLIReferência de comandos do
Definição e configuração
Monitoramento e solução de problemas
Limpeza
Recursos adicionais
Para obter instruções detalhadas de configuração, consulte a postagem de blog Apresentando os controles de criptografia da VPC: imponha a criptografia em trânsito dentro e entre as VPCs em uma região
Para obter informações detalhadas sobre API, consulte o Guia de referência de API do EC2.
