2026-01-27 13:40:14
20
通过Aravind Gopaluni和Stephen Eschbach发布于2024年8月21日
在2023年11月1日,纽约州金融服务局(NYDFS)发布了对其2017年制定的网络安全要求的第二次修订。修订旨在应对威胁行为者的日趋复杂性、网络攻击的普遍性和相对容易性,以及管理网络安全风险的额外控制措施的可用性。
本文集中讨论 加密在传输过程中的要求, 特别是第50015(a)条款的修订。它概述了亚马逊网络服务AWS提供的加密能力和安全连接选项,帮助客户证明遵循这一更新要求。文章还提供了最佳实践建议,强调了共享责任模型,从而帮助组织设计出坚固的数据保护策略,以应对更新的NYDFS加密要求以及其他安全标准和监管要求。
目标受众包括安全领导、架构师、工程师及安全运营团队成员,以及风险、合规和审计专业人士。
请注意,本文提供的信息仅供参考;并不构成法律或合规建议,不能作为法律或合规建议的依据。客户需自行进行独立评估,并应向其法律和合规顾问寻求适当的合规性建议,以遵循适用的NYDFS法规。
修订案中更新的要求指出:
每个受监管实体在其网络安全计划中应实施书面政策,要求加密符合行业标准,以保护在传输过程中和存储时持有或传输的非公开信息。如果受监管实体确定存储时加密非公开信息不可行,则可以改用有效的替代控制措施,且须经受监管实体的首席信息安全官CISO书面审查和批准。每年至少由CISO审核加密的可行性和替代控制措施的有效性。修正案取消了受监管实体的首席信息安全官CISO在认为不可能对在外部网络上传输的非公开信息进行加密时批准替代控制措施的自主权。修正案规定,自2024年11月起,组织必须对通过外部网络传输的非公开信息进行加密,且不得采用替代控制措施。尽管采用网络分隔、多因素身份验证MFA和入侵检测与预防系统IDS/IPS等安全最佳实践可以提供深度防御,但这些替代控制措施不再足以替代外部网络上非公开信息的传输加密。
然而,修正案仍允许CISO对在存储时非公开信息加密不可行的情况下批准使用替代控制。AWS致力于提供行业标准的加密服务和能力,以帮助保护客户在云中的数据,提供可扩展、高效的加密功能。以下是相关服务的例子:
服务类型描述数据加密能力AWS存储和数据库服务中的数据加密能力,如 亚马逊弹性块存储Amazon EBS、亚马逊简单存储服务Amazon S3、亚马逊关系数据库服务Amazon RDS、亚马逊Redshift。密钥管理选项包括 AWS密钥管理服务AWS KMS,允许客户选择是让AWS管理加密密钥还是完全控制自己的密钥。硬件凭证存储使用 AWS CloudHSM,帮助遵循合规要求。虽然上述重点突出了AWS提供的静态加密能力,但本文的重点是提供对传输过程中加密的指导和最佳实践建议。
云网络流量涵盖了与云的连接以及云服务提供商CSP服务之间的流量。从组织的角度来看,CSP网络和数据中心被视为外部,因为它们不在组织的直接控制之下。连接组织和CSP的网络通常通过互联网或专线建立,视为外部网络。在这些外部网络上的数据加密至关重要,应该成为组织网络安全计划的重要组成部分。
AWS实施了多种机制,以确保客户数据在传输和存储过程中的保密性和完整性。虽然AWS在多个传输点采用透明加密,但我们强烈建议在架构中将加密作为设计的基础。AWS提供强大的传输加密能力,帮助客户遵守合规性要求,降低外部网络上传输的非公开信息未经授权披露和修改的风险。
此外,AWS还建议金融服务机构采用 安全设计SbD 方法,实施从安全角度进行预先测试的架构。SbD有助于为在AWS上运行的工作负载建立控制目标、安全基线、安全配置和审计能力。
安全与合规是 共享责任 的,客户和AWS共同承担责任。共享责任根据每项服务的安全配置选项而异。客户应仔细考虑所选择的服务,因为企业的责任因所用服务、将服务集成到IT环境中的方式以及适用的法律法规而异。AWS提供的资源,如 服务用户指南 和 AWS客户合规指南,将单一服务的安全最佳实践与领先的合规框架包括NYDFS进行了映射。
我们了解客户对隐私和数据安全的高度重视。这就是为什么AWS让您拥有和控制您的数据,通过服务使您能够确定内容的存储位置,确保数据在传输和存储过程中的安全,并管理用户对AWS服务和资源的访问。当在AWS上设计工作负载时,基于数据的敏感性、重要性和合规性要求对数据进行分类是至关重要的。适当的数据分类使您能够实施适当的安全控制和数据保护机制,例如,在应用程序层使用传输层安全性TLS、访问控制措施和用于非公开信息的安全网络连接选项。在传输非公开信息时,建议根据网络架构识别该数据穿越的网络段。尽管AWS在多个传输点采用透明加密,但建议在多个OSI模型层OSI模型实施加密解决方案,以建立深度防御并增强端到端加密能力。虽然修正案第50015条不强制要求端到端加密,但实施此类控制措施可以提供额外的安全层,并有助于证明非公开信息在传输过程中的一致加密。
AWS提供众多选项以实现此目标。虽然不是每个选项都单独提供端到端加密,但将它们结合使用有助于确保非公开信息不会在开放的公共网络中未加保护地传输。这些选项包括:
使用AWS Direct Connect和 IEEE 8021AE MAC安全标准 (MACsec) 进行加密VPN连接安全API端点客户端在将数据发送到AWS之前进行加密使用MACsec加密的AWS Direct ConnectAWS Direct Connect提供通过第三方托管设施与AWS网络的直接连接,利用AWS所有设备与客户或合作伙伴设备之间的交叉连接。Direct Connect可以降低网络成本,提高带宽吞吐量,并提供比基于互联网的连接更一致的网络体验。在Direct Connect连接中物理结构,将有一个或多个虚拟接口VIFs。这些是逻辑实体,反映为客户设备终止Direct Connect连接时的行业标准8021Q VLAN。根据VIF的类型,可能使用公共或私有的IP地址。VIF有三种不同类型:
公共虚拟接口 在AWS公共端点与您的数据中心、办公室或托管环境之间建立连接。传输虚拟接口 在 AWS传输网关 与您的数据中心、办公室或托管环境之间建立私有连接。传输网关是AWS管理的高可用性和可扩展性区域网络传输中心,用于互连 亚马逊虚拟私有云Amazon VPC 和客户网络。私有虚拟接口 在Amazon VPC资源与您的数据中心、办公室或托管环境之间建立私有连接。通常,Direct Connect连接从您本地到Direct Connect位置未加密,因为AWS无法假定您本地设备支持MACsec协议。通过MACsec,Direct Connect可以提供原生、接近线路速率的点对点加密,确保AWS与您的公司网络之间的数据通信得到保护。MACsec在10 Gbps和100 Gbps专用Direct Connect连接的特定接入点上受支持。结合使用启用MACsec的Direct Connect连接与AWS从Direct Connect位置到AWS骨干网提供的透明物理网络加密,不仅使您能够安全地与AWS交换数据,还能使用最高可用带宽。有关MACsec支持和密码套件的详细信息,请参见Direct Connect常见问题解答中的MACsec部分。
quickq下载加速器该图示例展示了使用 Direct Connect与MACsec及AWS传输网关进行的流量保护的参考架构。
在示例架构中,您可以看到,MACsec通过第2层加密仅保护从您的本地系统到AWS设备的流量,因此您需要考虑在第3层、第4层或第7层实施额外的加密解决方案,以实现接近端到端的加密到您希望解密数据的设备。在下一部分,让我们回顾一种使用AWS站点到站点VPN实现网络层加密的选项。
AWS站点到站点VPNAWS站点到站点VPN 是一项完全托管的服务,创建企业网络和Amazon VPC之间使用IP安全IPsec隧道的安全连接。通过加密VPN连接传输数据,帮助维护传输中数据的机密性和完整性。每个VPN连接由位于AWS一方的虚拟私有网关或传输网关与位于本地一方的客户网关之间的两个隧道组成。每个隧道支持最大吞吐量达125 Gbps。有关详细信息,请参阅 站点到站点VPN配额
您可以利用站点到站点VPN通过Direct Connect实现安全的IPsec连接,同时利用Direct Connect提供的低延迟和一致的网络体验,以连接到您Amazon VPC中的资源。
下图示例展示了在私人专用连接上,在您的网络和传输网关之间建立端到端IPsec加密连接的参考架构。
当通过MACsec和使用IPsec的站点到站点VPN提供物理和网络层的加密时,它们主要保护数据在您本地网络与AWS网络边界之间的传输。为了进一步增强端到端加密的覆盖范围,建议使用TLS加密。接下来,我们来回顾使用TLS加密保护AWS上API端点的机制。
安全API端点API是应用程序访问其他应用程序和后端服务的数据、业务逻辑或功能的门户。
AWS使您能通过公共 AWS服务API端点 建立安全加密连接。公共的AWS服务API端点如 亚马逊简单队列服务Amazon SQS、AWS身份和访问管理IAM、AWS密钥管理服务AWS KMS 和其他AWS管理的服务都拥有AWS持有和部署的证书。默认情况下,对这些公共端点的请求使用HTTPS。为了适应技术和监管标准的演变,自2024年2月27日起,AWS更新了其TLS政策,要求至少使用TLS 12,从而逐步淘汰对TLS 10和11版本的支持,在所有AWS区域和可用区的AWS服务API端点上均有效。
此外,为了增强连接性能,AWS已经开始全球启用TLS 13 用于其服务API端点。如果您使用 AWS SDK 或 AWS命令行接口AWS CLI,在服务启用后,您将自动受益于TLS 13。
虽然对公共AWS服务API端点的请求默认使用HTTPS,但一些服务如亚马逊S3和 亚马逊DynamoDB允许使用HTTP或HTTPS。如果客户端或应用程序选择HTTP,则通信将不会加密。客户有责任在使用此类AWS服务时强制执行HTTPS连接。为帮助确保安全通信,您可以通过使用IAM策略条件键 awsSecureTransport 在您的IAM角色中建立一个身份边界,以评估连接并强制HTTPS使用。
随着企业越来越多地采用云计算和微服务架构,团队经常构建和管理作为私有API端点公开的内部应用程序。客户有责任对私有客户拥有的端点管理证书。AWS通过使用 AWS证书管理器ACM 私有证书机构PCA 协助您部署私有客户拥有的身份即TLS证书,并与AWS提供私有客户拥有的TLS终止端点的服务集成。
ACM是一项完全托管的服务,允许您为AWS服务和内部连接的资源配置、管理和部署公共和私有TLS证书。ACM最小化了购买、上传和续订TLS证书的耗时手动流程。您可以通过直接使用ACM发布证书或导入 第三方证书到ACM管理系统,为您的集成AWS服务提供证书。ACM提供两种部署受托管的X509证书的选项,您可以根据需求选择最佳的选项。
AWS证书管理器ACM 该服务适用于需要使用TLS确保网络安全的企业客户。ACM证书通过 弹性负载均衡ELB、 亚马逊CloudFront、 亚马逊API Gateway 和其他v集成AWS服务提供。此类证书最常见的应用类型是对具有较大流量需求的安全公共网站。ACM还通过自动