AWS IoT Core 支持 TLS 13 的介绍
重点摘要
我们很高兴地宣布,AWS IoT Core 现在支持传输层安全TLS13。TLS 13 相较于 TLS 12 提供了更高的安全性与性能。客户可以在默认的 Amazon Trust Services (ATS) 数据平面端点以及其可配置的端点中设置 TLS 版本。同时,AWS IoT Core 还支持同时在单一或多个数据端点上运行 TLS 12 和 TLS 13,以便管理不同设备。
引言
AWS IoT Core 现已支持 TLS 13,成为一种新的传输安全选项。TLS 13 为客户提供了与 TLS 12 相比更强的安全性和更好的性能。客户可以在默认的 ATS 数据平面端点 和他们的 可配置端点 中配置所需的 TLS 版本,无论是 AWS 管理的域 还是 自定义域。
“我们很高兴成为在 AWS IoT Core 上使用 TLS 13 的首个客户,连接全球数百万辆汽车。确保汽车和车辆数据的安全是我们的首要任务。” Brian Black,梅赛德斯奔驰美国研究与开发公司的云运输与网络经理。
此外,TLS 13 还扩展到 AWS IoT Core 设备顾问,设备顾问可以自动检测并处理设备使用的 TLS 版本。
在这篇文章中,我们总结了 TLS 13 提供的增强功能,解释了该功能如何集成到 AWS IoT Core 中,并为您指引如何开始使用 TLS 13 端点。
TLS 13 的优势
TLS 13 相比于 12 提供了以下几个优点:
优点说明改进的安全性更强的密码算法和密钥交换机制更快的握手减少了握手过程中需要的往返次数,实现更快的连接降低延迟包括零往返时间0RTT模式更好的隐私性哪怕私钥在未来被泄露,过去的会话也不能被解密简化设计移除了一些旧的特性,使其更易于实现和维护增强抵抗流量分析加密比以往更多的数据与 AWS IoT Core 的集成
AWS IoT Core 提供灵活的数据端点和域配置选项,您可以将设备连接到 AWS IoT Core 服务。您可以使用默认的 ATS 数据平面端点,或选择配置额外的数据端点。这些端点可使用不同的身份验证方法或使用带用户管理证书的自定义域。AWS IoT Core 现在增加了与每个数据端点相关的可配置 TLS 安全策略的概念。
TLS 安全策略设置
TLS 安全策略可以有五种可选设置:
TLS 1213 IoTSecurityPolicyTLS1312202210仅 TLS 13 IoTSecurityPolicyTLS1313202210仅 TLS 12 IoTSecurityPolicyTLS1212202210TLS 11112 (遗留) IoTSecurityPolicyTLS1210201601TLS 11112 (遗留) IoTSecurityPolicyTLS1210201501有关详细信息,请参考 TLS 策略表。
兼容性
现有域和数据端点默认使用 TLS 12 与现有设备队列保持兼容性。新的域和数据端点默认支持 TLS 1213。遗留策略仅在某些区域可用,不应在新设计中使用。
如何在 AWS IoT Core 中使用 TLS 13
要为您的数据端点分配 TLS 安全策略,您可以选择使用 AWS 控制台 或 AWS CLI。
接下来的部分将介绍如何:
使用 AWS 控制台将 TLS 13 应用于默认的 ATS 域设备数据端点使用 AWS 控制台将 TLS 13 应用于 AWS 管理的域可配置端点使用 AWS CLI 将 TLS 13 应用于默认的 ATS 域设备数据端点使用 AWS CLI 将 TLS 13 应用于 AWS 管理的域可配置端点先决条件
您需要拥有 AWS IoT Core 的权限,包括:
describeendpointlistdomainconfigurationsdescribedomainconfigurationupdatedomainconfiguration确保你安装了 AWS CLI 21117 或更高版本,并为本地终端、AWS 账户和地区配置完成。
使用 AWS 控制台将 TLS 13 应用到默认 ATS 域设备数据平面端点
步骤 1 更新您的 ATS 数据平面端点
打开 AWS IoT 控制台。在菜单中选择 Settings。在设备数据端点中,从下拉菜单中选择 Security Policy。您在下拉菜单中所做的选择会自动保存到设备数据端点中。
使用 AWS 控制台将 TLS 13 应用到 AWS 管理的域可配置端点
步骤 1 创建域配置
打开 AWS IoT 控制台。在菜单中选择 Settings。点击 Create domain configuration。输入 Domain configuration name。在自定义域设置面板中从下拉菜单中选择 Security Policy。点击 Create domain configuration 来保存新配置。您可以在主设置面板中查看新的域配置。
使用 AWS CLI 将 TLS 13 应用到默认 ATS 域设备数据平面端点
步骤 1 使用 AWS CLI 检索默认数据端点。
bashaws iot describeendpoint endpointtype iotDataATS
这将返回一个用于应用您的 TLS 配置的端点地址。
加速器官方版下载json{ endpointAddress yourspecificendpointxxxxatsiotuswest2amazonawscom}
步骤 2 检查当前的 TLS 配置。
bashaws iot describedomainconfiguration domainconfigurationname iotDataATS
这将返回当前的端点配置详情,包括安全策略 TLS 版本:
json{ domainConfigurationName iotDataATS domainConfigurationArn arnawsiotuswest2AWSACCOUNTIDdomainconfiguration/iotDataATS domainName yourspecificendpointxxxxatsuswest2iotamazonawscom serverCertificates [] domainConfigurationStatus ENABLED serviceType DATA domainType ENDPOINT lastStatusChangeDate 20230316T1757591940000800 tlsConfig { securityPolicy IoTSecurityPolicyTLS1212202210 }}
如上例所示,安全策略值显示为仅支持 TLS 12。这是因为这些端点在 TLS 13 功能发布之前就已经存在。您可以选择将旧端点升级为 TLS 1213这允许服务器和设备选择最高的可用协议或强制使用仅 TLS 13如果设备无法接受 TLS 13 将会导致 TLS 握手失败。
步骤 3 更新您的端点配置为 TLS 1213,输入以下命令:
bashaws iot updatedomainconfiguration domainconfigurationname iotDataATS tlsconfig securityPolicy=IoTSecurityPolicyTLS1312202210
步骤 4 测试您的端点 TLS 版本兼容性。
bashcurl https//yourspecificendpointxxxxatsuswest2iotamazonawscom insecure verbose tlsv12 tlsmax 13
如果配置正确,将返回成功的握手结果TLS 13以及类似于以下的输出:
text SSL connection using TLSv13 / AEADAES128GCMSHA256
使用 AWS CLI 将 TLS 13 应用到 AWS 管理的域可配置端点
如果您为某些设备使用 AWS 管理或自定义域,您也可以设置该域可配置端点的端点配置。重复上述步骤,将 domainconfigurationname “iotDataATS” 替换为自定义域配置名称。
bashaws iot updatedomainconfiguration domainconfigurationname foobar tlsconfig securityPolicy=IoTSecurityPolicyTLS1312202210
结论
在本文中,我们介绍了 TLS 13 的优势以及它如何融入 AWS IoT Core。接着,我们逐步指导您如何为不同类型的数据端点和域配置 TLS 版本。TLS 安全策略使用户能够为默认 ATS 数据平面端点以及用户可配置的端点和自定义域配置所需的 TLS 版本。
若想开始将您的 TLS 12 和 13 设备连接到 AWS IoT Core,请查阅 连接您的设备 文档,或观看 “AWS IoT Core 的 TLS 安全策略” 视频。
如需了解更多 AWS IoT 服务和解决方案,请访问 AWS IoT 或 联系我们。
关于作者
Greg Breen 是亚马逊网络服务的高级 IoT 专家解决方案架构师。居住在澳洲,他帮助亚太地区的客户构建 IoT 解决方案,对嵌入式系统有深入的经验,尤其擅长协助产品开发团队将设备推向市场。
Jen O’Hehir 是亚马逊网络服务的高级解决方案架构师。她在西澳大利亚的矿业领域有丰富背景,乐于帮助刚接触 AWS 的客户构建创新和优化的云及混合解决方案。她热衷于解放OT数据,以支持数据驱动的运营决策和运营模型改进。
