Blog de Amazon Web Services (AWS)

TLS 1.2 se convertirá en la versión mínima del protocolo TLS para todos los endpoints de la API de AWS

Por Janelle Hopper, Senior Technical Program Manager em AWS Security,
Daniel Salzedo, Senior Specialist Technical Account Manager en AWS,
y Ben Sherman, Software Development Engineer en AWS Security.

En Amazon Web Services (AWS), innovamos continuamente para ofrecerle un entorno de computación en la nube que ayude a cumplir con los requisitos de seguridad más importantes de las organizaciones.  Para responder a la evolución de la tecnología y los estándares regulatorios del protocolo Transport Layer Security (TLS), actualizaremos la configuración de TLS para todos Endpoints de la API de servicios de AWS a la versión TLS 1.2, como mínimo.  Esta actualización significa que usted necesitará utilizar versiones de TLS 1.2 o superiores para sus conexiones y dicho despliegue, que será continuo y gradual, será completado el 31 de diciembre del 2023. En esta publicación, le mostraremos cómo comprobar su versión de TLS y qué hacer para prepararse.

AWS ha mantenido el soporte a las versiones 1.0 y 1.1 de TLS para mantener la compatibilidad con versiones anteriores, para los usuarios que tienen clientes más antiguos o que son difíciles de actualizar, como los dispositivos integrados. Además, hemos implementado mitigaciones que ayudan a proteger sus datos de los inconvenientes identificados en estas versiones anteriores.  Ahora es el momento adecuado para retirar TLS 1.0 y 1.1, porque cada vez son más los clientes que solicitan este cambio para ayudar a simplificar parte de su cumplimiento normativo, y a la vez que menos los clientes que utilizan estas versiones anteriores.

Si es uno de los más del 95% de los clientes de AWS que utilizan TLS 1.2 o una versión posterior, este cambio no le afectará.  Es casi seguro que ya utiliza TLS 1.2 o una versión posterior si el software de la aplicación del cliente se creó después de 2014 con el AWS Software Development Kit (AWS SDK), la interfaz de línea de comandos de AWS (AWS CLI) ,  el Java Development Kit (JDK) 8 o posterior u otro entorno de desarrollo moderno.  Si utilizas versiones anteriores de la aplicación o si no has actualizado tu entorno de desarrollo desde 2014, es probable que tengas que actualizarla.

Si es uno de los clientes que aún usa TLS 1.0 o 1.1, debe actualizar el software del cliente para usar TLS 1.2 o posterior y mantener las conexiones funcionales. Es importante resaltar que usted ya tiene el control sobre la versión de TLS utilizada para la conexión.  Al conectarse a los endpoints de la API de AWS, el software del cliente negocia la versión de TLS preferida y AWS utiliza la versión más alta que se haya acordado mutuamente.

Para minimizar el impacto del requerimiento de TLS 1.2, AWS implementará los cambios de endpoint por endpoint. Antes de realizar estos cambios potencialmente disruptivos, monitoreamos para identificar las conexiones que aún utilizan TLS 1.0 o TLS 1.1. Si usted es uno de los clientes de AWS que pueda verse impactado, se lo notificaremos a través del AWS Health Dashboard y por correo electrónico.  Después del 28 de junio de 2023, AWS actualizará la configuración de nuestros API Endpoint para   eliminar TLS 1.0 y TLS 1.1, incluso si aún tiene conexiones con esas versiones.

Tenemos disponible un vídeo de presentación sobre este tema del AWS Re:Inforce 2022 titulado  « Aumentando la protección de datos de la API de servicios de AWS a TLS 1.2+ »:

¿Qué debe hacer para prepararse para esta actualización?

Para minimizar el riesgo, usted puede identificar si tiene conexiones que utilicen TLS 1.0 o 1.1. En ese caso, deberá actualizar el software de cliente a la versión 1.2 de TLS o posterior.

Los registros de AWS CloudTrail son especialmente útiles para identificar si está utilizando versiones obsoletas de TLS. Ahora puede buscar la versión de TLS que utilizan sus conexiones mediante el campo TLSDetails, agregado recientemente. La estructura TLSDetails de cada registro de CloudTrail contiene la versión de TLS, la suite de cifrado y el nombre de host proporcionado por el cliente utilizado en la llamada a la API del servicio, que generalmente es el nombre de dominio completo (FQDN: nombre de dominio completo calificado) del Endpoint del servicio.  Puede utilizar los datos en los logs para identificar y actualizar el software del cliente responsable de la llamada a TLS 1.0 o 1.1. Actualmente, más de la mitad de los servicios de AWS proporcionan la información de TLS en el campo TLSDetails de CloudTrail, y seguiremos implementándola para el resto de los servicios en los próximos meses.

  1. AWS CloudTrail Lake: Puede seguir los pasos y utilizar el ejemplo en el blog post  Uso de AWS CloudTrail Lake para identificar las conexiones TLS obsoletas. También hay un ejemplo integrado de una consulta TLS de CloudTrail disponible en la consola de  AWS CloudTrail Lake.
  2. Amazon CloudWatch Log Insights:  Hay dos ejemplos de consultas TLS de CloudTrail integradas con CloudWatch Log Insights que puede utilizar, como se muestra en la figura 1.

    Figura 1 – Ejemplos de consultas TLS disponibles para CloudWatch Log Insights
  3.  Amazon Athena: Puede consultar  los registros de AWS CloudTrail en Amazon Athena  y, en noviembre de 2022, añadimos la posibilidad de consultar los valores de TLS en sus registros de CloudTrail.
  4. Logs de acceso al servidor Amazon S3: Son una opción para que los clientes de Amazon S3 vean  las solicitudes a sus buckets S3, detalladas, incluyendo conexiones de datos, tales como GetObject.

Además de utilizar los datos de CloudTrail, también puede identificar la versión de TLS que utilizan sus conexiones realizando un análisis de código, de red o de registros, tal como se describe en la publicación. TLS 1.2 será requisito para todos los endpoints de AWS FIPS. Tenga en cuenta que, si bien la publicación hace referencia a los endpoints de la API de FIPS, la información sobre cómo consultar las versiones de TLS aplica a todos los endpoints de API.

¿Recibiré una notificación si utilizo TLS 1.0 o TLS 1.1?

Si detectamos que está utilizando TLS 1.0 o 1.1, recibirá una notificación en su  AWS Health Dashboard  y recibirá notificaciones por correo electrónico. Sin embargo, no recibirá notificaciones sobre las conexiones realizadas de forma anónima a recursos compartidos de AWS, tales como los buckets públicos de Amazon Simple Storage Service (Amazon S3), porque no podemos identificar las conexiones anónimas. Además, si bien hacemos todo lo posible por identificar y notificar a todos los clientes, existe la posibilidad de que no detectemos conexiones poco frecuentes, como las que se producen menos de una vez al mes

¿Cómo actualizo mi cliente para que utilice TLS 1.2 o TLS 1.3?

Si utiliza Software Development Kit de AWS (AWS SDK) o la interfaz de línea de comandos de AWS (AWS CLI), siga las instrucciones detalladas sobre cómo examinar el código del software de su cliente y configurar correctamente la versión de TLS descriptas en la siguiente publicación: Se requerirá TLS 1.2 para todos los endpoints de AWS FIPS. Puede encontrar también información acerca de la identificación y la actualización de la versión de TLS del cliente en nuestra presentación AWS Re:Inforce 2022 Aumentando la protección de datos de la API de servicios de AWS a TLS 1.2+ (DPP202).

Le recomendamos ser proactivo para evitar un impacto en la disponibilidad, como así también, que pruebe los cambios de configuración en un entorno de prueba antes de introducirlos en el entorno de producción.

¿Cuál es el caso de uso más común de TLS 1.0/1.1?

El caso de uso más común de TLS 1.0 o 1.1 son las versiones de. NET Framework anteriores a 4.6.2. Si usa el. NET Framework, confirme que está utilizando la versión 4.6.2 o posterior. Para obtener información sobre cómo actualizar y configurar el.NET Framework para que sea compatible con TLS 1.2, consulte Cómo habilitar la autenticación TLS 1.2 en clientes en la documentación de .NET Configuration Manager, o este artículo del re:post.

¿Qué es Transport Layer Security (TLS)?

Transport Layer Security (TLS) es un protocolo criptográfico que protege las comunicaciones por Internet. El software de su cliente se puede configurar para utilizar las versiones 1.0, 1.1, 1.2 o 1.3 de TLS, o un subconjunto de ellas, al conectarse a los endpoints del servicio.  Debe asegurarse de que el software de su cliente sea compatible con TLS 1.2 o posterior. Puede visitar nuestro blog post del 23 de Mayo de 2023, Nuestros esfuerzos para implementar TLS 1.3.

¿Hay más ayuda disponible para verificar o actualizar el software de mi cliente?

Si tiene preguntas o problemas, puede iniciar un hilo en la comunidad de  AWS re:post  o ponerse en contacto con  AWS Support  o con el  Technical Account Manager  (TAM).

Además, puede utilizar  AWS IQ  para buscar, colaborar de forma segura y conectarse con especialistas externos certificados por AWS para que le proporcionen asistencia a pedido para actualizar los componentes de su cliente de TLS. Para obtener información sobre cómo enviar una solicitud, obtener respuestas de expertos y elegir al especialista con las habilidades y la experiencia adecuadas, consulte la página de  AWS IQ. Inicie sesión en la consola de administración de AWS y seleccione  Comenzar con AWS IQ  para iniciar una solicitud.

¿Qué pasa si no puedo actualizar el software de mi cliente?

Si no puede actualizar a TLS 1.2 o TLS 1.3, póngase en contacto con   AWS Support   o con su   Technical Account Manager (TAM) para que podamos trabajar con usted e identificar la mejor solución.  Si tiene un bucket de Amazon Simple Storage Service (Amazon S3) que sus clientes utilizan para acceder al contenido mediante TLS 1.0 o TLS 1.1, puede seguir las instrucciones del Centro de conocimiento de AWS en la sección ¿Cómo permito el acceso a mis buckets de Amazon S3 a los clientes que no usan TLS 1.2 o superior? Tenga en cuenta que también puede exigir el uso de TLS 1.2 o superior para todas las conexiones a sus buckets de S3 de acuerdo con esta guía del Centro de conocimiento de AWS.

 

 Este artículo fue traducido del Blog de AWS en Inglés.

Acerca de los autores

Janelle Hopper is a Senior Technical Program Manager in AWS Security with over 25 years of experience in the IT security field. She works with AWS services, infrastructure, and administrative teams to identify and drive innovative solutions that improve the AWS security posture.

 

 

 

 

Daniel Salzedo is a Senior Specialist Technical Account Manager – Security. He has over 25 years of professional experience in IT in industries as diverse as video game development, manufacturing, banking, and used car sales. He loves working with our wonderful AWS customers to help them solve their complex security challenges at scale.

 

 

 

 

Ben Sherman is a Software Development Engineer in AWS Security, where he focuses on automation to support AWS compliance obligations. He enjoys experimenting with computing and web services both at work and in his free time

 

 

 

 

Revisores

Liz Menichetti es directora técnica de cuentas en AWS. Desde 2019, ayuda a los clientes de AWS con arquitecturas y proyectos sobresalientes en los sectores más variados de la industria, no solo apoyando a los clientes, sino también aportando valor a la empresa con buenas prácticas de seguridad, escalabilidad, resiliencia, rendimiento y excelencia operativa.

 

 

 

 

Eduardo Inoue trabaja como gerente de cuentas técnicas en AWS, lo que ayuda a los clientes en su transición a la nube. Cuenta con más de 13 años de experiencia en tecnologías de infraestructura, como computación, redes y almacenamiento. Apasionado por la tecnología, siempre busca aprender nuevas soluciones.

 

 

 

 

Javier Sánchez Navarro es Technical Account Manager (TAM) en AWS, acompañando las operaciones en la nube de los clientes y dando soporte a sus objetivos de seguridad, resiliencia, eficiencia operacional y negocios. En su trayectoria lleva más de 20 años como Administrador de Sistemas, Consultor de Tecnología y Project Manager.