Amazon OpenSearch Service Recentemente, introduziu uma política de segurança de segurança da camada de transporte (TLS)-MIN-TLS-1-2-PFS-2023-10, que suporta o mais recente Protocolo TLS 1.3 e TLS 1.2 com suítes cifrões de sigilo avançado (PFS). Essa nova política melhora a segurança e aprimora o desempenho do OpenEarch.
O OpenEarch Service ofereceu políticas TLS predefinidas anteriormente para a segurança do endpoint de domínio, possibilitando criptografar seu tráfego de ponta a ponta, aplicando HTTPs. No entanto, essas políticas foram limitadas a versões mais antigas do TLS, como o TLS 1.0 e o TLS 1.2, sem nenhuma oferta de PFS.
Neste put up, discutimos os benefícios dessa nova política e como habilitá -la usando o Interface da linha de comando da AWS (AWS CLI).
Visão geral da solução
A nova Política de Segurança do TLS fornece uma postura de segurança atualizada para domínios do serviço de pesquisa OpenEarch, implementando o TLS 1.3 e o PFS. Isso possibilita aprimorar a confidencialidade e a integridade do tráfego entre os clientes e seus domínios de serviço OpenSearch, fornecendo um canal de comunicação mais seguro e eficiente para seus dados confidenciais. O TLS 1.3 é a versão mais recente do protocolo de segurança da camada de transporte, projetado para impedir certos ataques direcionados ao TLS Ciphers Legacy e fornecem melhorias como a retomada de 0-RTT para tempos de conexão mais rápidos. O TLS 1.3 pode estabelecer conexões seguras mais rapidamente que o TLS 1.2, resultando em latência reduzida para seus aplicativos. O PFS é um importante aprimoramento de segurança que garante que as comunicações anteriores permaneçam seguras, mesmo que a chave secreta de longo prazo do servidor esteja comprometida no futuro. Ao usar uma chave de sessão exclusiva e gerada aleatoriamente para cada conexão, o PFS adiciona uma camada additional de proteção contra potenciais escutas ou descriptografia de dados criptografados. Comparado ao TLS 1.2 Política de Política MIN-TLS-1-2-2019-07, o TLS 1.2 com PFS oferece segurança mais forte, protegendo contra possíveis compromissos importantes, mantendo a compatibilidade com clientes mais antigos que não suportam o TLS 1.3.
Pré -requisitos
Para começar a usar esta nova política, você precisa dos seguintes pré -requisitos:
Habilite a nova política de TLS sobre o OpenEarch Service
Para criar novos domínios com a nova política de TLS habilitada, adicione --domain-endpoint-options '{"TLSSecurityPolicy": "Coverage-Min-TLS-1-2-PFS-2023-10"}' para o comando da CLI da AWS do domínio Criar:
Para os domínios existentes, você pode atualizar a configuração do domínio para usar a nova política do TLS, executando o comando da atualização do domínio-confirmação da AWS da CLI:
Considerações do lado do cliente
A maioria dos clientes e bibliotecas modernos deve suportar o TLS 1.3 e o TLS 1.2 com o PFS fora da caixa. No entanto, se você encontrar questões ou preocupações de compatibilidade, pode ser necessário atualizar as bibliotecas ou configurações de seus clientes para permitir o suporte para a nova política do TLS.
Conclusão
A nova Política de Política-Min-TLS-1-2-PFS-2023-10 Política de Segurança para Serviço OpenEarch oferece melhorias significativas na segurança e no desempenho. Ao apoiar o TLS 1.3 e o TLS 1.2 com o PFS, esta política ajuda a proteger seus dados em trânsito e fornece tempos de conexão mais rápidos. Recomendamos que você comece a usar esta nova política de segurança do TLS para melhorar a postura e o desempenho da segurança ao se conectar aos seus domínios de serviço OpenEarch. Para começar, siga as etapas descritas nesta postagem para permitir a nova política em seus domínios novos ou existentes.
Para mais informações sobre o disponível Opções TLS e como configurá -los, consulte Segurança de infraestrutura no Amazon OpenEarch Service.
Na Amazon, a segurança é a nossa principal prioridade e estamos trabalhando continuamente para aprimorar a segurança e o desempenho de nossos serviços. Fique atento para atualizações mais emocionantes!
Sobre os autores
Shubham Kumar é um engenheiro de desenvolvimento de software program no Amazon OpenEarch Service, especializado no domínio de segurança. Ele é apaixonado por desenvolver recursos de segurança robustos para aprimorar a proteção dos dados e da infraestrutura do cliente.
Sachet Alva é um gerente de desenvolvimento de software program no Amazon OpenEarch Service, supervisionando as iniciativas de segurança e pacotes personalizados da infraestrutura. As inovações de sua equipe contribuem para a segurança e a flexibilidade aprimoradas das implantações do Amazon OpenSearch Service.
Naveen Negi é um gerente sênior de produto de tecnologia do Amazon OpenEarch Service. Ele trabalha em estreita colaboração com as equipes de engenharia e os clientes para moldar o futuro do serviço OpenEarch, certificando -se de que atenda às necessidades de segurança e desempenho em evolução.