Servicio de Amazon OpenSearch Recientemente introdujo una nueva política de seguridad de la capa de transporte (TLS) Política-MIN-TLS-2-2-PFS-2023-10, que respalda el postrer protocolo TLS 1.3 y TLS 1.2 con suites de oculto perfectas de secreto alrededor de delante (PFS). Esta nueva política mejoría la seguridad y mejoría el rendimiento de OpenSearch.
El servicio OpenSearch ofreció previamente políticas TLS predefinidas para la seguridad del punto final del dominio, lo que permite compendiar su tráfico de extremo a extremo al hacer cumplir los HTTP. Sin secuestro, estas políticas se limitaron a versiones más antiguas de TLS, como TLS 1.0 y TLS 1.2, sin ninguna propuesta de PFS.
En esta publicación, discutimos los beneficios de esta nueva política y cómo habilitarla utilizando el Interfaz de trayecto de comandos de AWS (AWS CLI).
Descripción normal de la posibilidad
La nueva política de seguridad de TLS proporciona una postura de seguridad actualizada para los dominios de servicios de OpenSearch mediante la implementación de TLS 1.3 y PFS. Esto permite mejorar la confidencialidad e integridad del tráfico entre los clientes y sus dominios de servicio OpenSearch, proporcionando un canal de comunicación más seguro y eficaz para sus datos confidenciales. TLS 1.3 es la última interpretación del Protocolo de seguridad de la capa de transporte, diseñada para evitar ciertos ataques dirigidos a los cifrados Legacy TLS y proporciona mejoras como la reanudación de 0-RTT para tiempos de conexión más rápidos. TLS 1.3 puede establecer conexiones seguras más rápido que TLS 1.2, lo que resulta en una latencia estrecha para sus aplicaciones. PFS es una mejoría de seguridad importante que asegura que las comunicaciones pasadas permanezcan seguras, incluso si la esencia secreta a generoso plazo del servidor se ve comprometida en el futuro. Al usar una esencia de sesión única generada aleatoriamente para cada conexión, PFS agrega una capa adicional de protección contra la audición potencial o el descifrado de datos cifrados. En comparación con la política de política TLS 1.2 anterior-MIN-TLS-2-2019-07, TLS 1.2 con PFS ofrece una seguridad más válido al proteger contra posibles compromisos esencia, al tiempo que mantiene la compatibilidad con clientes más antiguos que no admiten TLS 1.3.
Requisitos previos
Para comenzar a usar esta nueva política, necesita los siguientes requisitos previos:
Habilite la nueva política TLS en el servicio OpenSearch
Para crear nuevos dominios con la nueva política TLS habilitada, agregue --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-PFS-2023-10"}' al comando Crear dominio AWS:
Para los dominios existentes, puede refrescar la configuración del dominio para usar la nueva política TLS ejecutando el comando update-domain-config AWS CLI:
Consideraciones del costado del cliente
La mayoría de los clientes y bibliotecas modernos deben tolerar TLS 1.3 y TLS 1.2 con PFS fuera de la caja. Sin secuestro, si encuentra problemas o inquietudes de compatibilidad, es posible que deba refrescar sus bibliotecas o configuraciones de clientes para habilitar el soporte para la nueva política TLS.
Conclusión
La nueva política de seguridad Policy-Min-TLS-2-2-PFS-2023-10 para el servicio OpenSearch ofrece mejoras significativas en seguridad y rendimiento. Al apoyar TLS 1.3 y TLS 1.2 con PFS, esta política ayuda a proteger sus datos en tránsito y proporciona tiempos de conexión más rápidos. Le recomendamos que comience a usar esta nueva política de seguridad TLS para mejorar la postura y el rendimiento de la seguridad al conectarse a sus dominios de servicio OpenSearch. Para comenzar, siga los pasos descritos en esta publicación para habilitar la nueva política en sus dominios existentes o nuevos.
Para más información sobre el apto Opciones de TLS y cómo configurarlos, consulte Seguridad de infraestructura en el servicio Amazon OpenSearch.
En Amazon, la seguridad es nuestra principal prioridad, y estamos trabajando continuamente para mejorar la seguridad y el rendimiento de nuestros servicios. ¡Estén atentos para obtener más actualizaciones emocionantes!
Sobre los autores
Shubham Kumar es ingeniero de crecimiento de software en el servicio Amazon OpenSearch, especializado en el dominio de seguridad. Le apasiona desarrollar características de seguridad robustas para mejorar la protección de los datos e infraestructura del cliente.
Sachet Alva es un director de crecimiento de software en el servicio Amazon OpenSearch, supervisando la seguridad de la infraestructura y las iniciativas de paquetes personalizados. Las innovaciones de su equipo contribuyen a la maduro seguridad y flexibilidad de las implementaciones de servicios de Amazon OpenSearch.
Naveen Negi es un director de productos de tecnología senior para el servicio Amazon OpenSearch. Trabaja en estrecha colaboración con equipos de ingeniería y clientes para dar forma al futuro del servicio de OpenSearch, asegurándose de que satisfaga las evacuación de seguridad y rendimiento en crecimiento.