O blog da AWS

O TLS 1.2 se tornará a versão mínima de protocolo TLS para todos os endpoints de API da AWS

Por Janelle Hopper, Senior Technical Program Manager em AWS Security,
Daniel Salzedo, Senior Specialist Technical Account Manager em AWS,
e Ben Sherman, Software Development Engineer em AWS Security.

Na Amazon Web Services (AWS), inovamos continuamente para oferecer a você um ambiente de computação em nuvem que funcione para ajudar a atender aos requisitos mais sensíveis à segurança das organizações . Para responder à evolução da tecnologia e dos padrões regulatórios de Transport Layer Security (TLS) – segurança da camada de transporte, atualizaremos a configuração de TLS para todos os endpoints de API de serviço da AWS para, no mínimo, a versão TLS 1.2. Esta atualização significa que você não poderá mais utilizar as versões 1.0 e 1.1 do TLS com todas as APIs da AWS em todas as regiões da AWS a partir de 28 de junho de 2023. Neste post, mostraremos como verificar sua versão do TLS e o que fazer para se preparar.

A AWS continua com o suporte das versões 1.0 e 1.1 do TLS para manter a compatibilidade de versões anteriores para usuários que possuem clientes mais antigos ou difíceis de atualizar, como dispositivos embarcados. Além disso, implementamos mitigações ativas que ajudam a proteger seus dados dos problemas identificados nessas versões mais antigas. Agora é o momento certo para aposentar o TLS 1.0 e 1.1, porque um número crescente de clientes solicitou essa alteração para ajudar a simplificar parte de sua conformidade regulatória, e há cada vez menos clientes utilizando essas versões mais antigas.

Se você for um dos mais de 95% dos clientes da AWS que utilizam o TLS 1.2 ou posterior, você não sofrerá impacto por essa alteração. É quase certo que você já esteja usando TLS 1.2 ou posterior caso o software de aplicativo do cliente tenha sido criado após 2014 com o uso de AWS Software Development Kit (AWS SDK)AWS Command Line Interface (AWS CLI)Java Development Kit (JDK) 8 ou posterior, ou outro ambiente de desenvolvimento moderno. Se você estiver usando versões anteriores do aplicativo ou não atualizou o seu ambiente de desenvolvimento desde de 2014, provavelmente precisará realizar a atualização.

Se você for um dos clientes que ainda utiliza TLS 1.0 ou 1.1, então você deverá atualizar seu software do cliente para usar TLS 1.2 ou posterior para manter sua capacidade de conexão. É importante entender que você já tem controle sobre a versão TLS usada na conexão. Ao conectar-se aos endpoints de API da AWS, seu software de cliente negocia sua versão TLS preferida e a AWS usa a versão mais alta acordada mutuamente.

Para minimizar o impacto na disponibilidade de exigir o TLS 1.2, a AWS está implementando as alterações endpoint a endpoint no próximo ano, começando agora e terminando em junho de 2023. Antes de fazer essas alterações com impacto em potencial, nós monitoramos as conexões que ainda estão utilizando TLS 1.0 ou TLS 1.1. Se você for um dos clientes da AWS que pode ter impacto, iremos notificá-lo por meio do AWS Health Dashboard e por e-mail. Após 28 de junho de 2023, a AWS atualizará a configuração de endpoint de API para remover TLS 1.0 e TLS 1.1, mesmo que você ainda tenha conexões utilizando essas versões.

Temos disponível uma apresentação em vídeo sobre esse tema do AWS re:Inforce 2022 chamada ‘Uplifting AWS service API data protection to TLS 1.2+‘:

O que você deve fazer para se preparar para esta atualização?

Para minimizar o risco, você pode identificar caso tenha alguma conexão usando TLS 1.0 ou 1.1. Se você encontrar alguma conexão TLS 1.0 ou 1.1, atualize seu software de cliente para a versão TLS 1.2 ou posterior.

Os registros do AWS CloudTrail são especialmente úteis para identificar se você está usando as versões TLS desatualizadas. Agora você pode pesquisar a versão TLS utilizada por suas conexões usando o campo tlsDetails – adicionado recentemente. A estrutura tlsDetails em cada registro do CloudTrail contém a versão TLS, o conjunto de cifras e o nome do host fornecido pelo cliente utilizado na chamada de API de serviço, que geralmente é o nome de domínio totalmente qualificado (FQDN – Fully Qualified Domain Name) do endpoint de serviço. Você pode usar os dados dos registros para auxiliar a identificação de software de cliente responsável pela chamada TLS 1.0 ou 1.1 e atualizá-los. Atualmente, quase metade dos serviços da AWS fornecem as informações de TLS no campo CloudTrail tlsDetails, e continuaremos implementando isso para os serviços restantes nos próximos meses.Recomendamos que você use uma das seguintes opções para executar suas consultas CloudTrail TLS. Observe que essas opções podem incorrer em custos. Consulte a definição de preço do serviço relevante na página de definição de preço da AWS.

  1. AWS CloudTrail Lake: Você pode seguir as etapas e usar o exemplo de consulta TLS do Blog Post Using AWS CloudTrail Lake to identify older TLS connections to AWS Service endpoint. Há também um exemplo integrado de consulta CloudTrail TLS disponível no console do AWS CloudTrail Lake.
  2. Amazon CloudWatch Log Insights: Há dois exemplos de consultas CloudTrail TLS integrados ao CloudWatch Log Insights que você pode utilizar, conforme o exemplo da Figura 1

    Figura 1 – Exemplos de consultas TLS disponíveis para CloudWatch Log Insights
  3. Amazon Athena: Você pode consultar logs do AWS CloudTrail no Amazon Athena e, em novembro de 2022, adicionamos suporte para consultar os valores TLS em seus logs do CloudTrail.
  4. Amazon S3 server-access logs: São uma opção para os clientes do Amazon S3 visualizarem solicitações detalhadas para seus buckets do S3, incluindo conexões de dados como o GetObject.

Além de usar os dados do CloudTrail, você também pode identificar a versão TLS utilizada por suas conexões realizando análise de código, rede, ou análises de log conforme descrito no post – TLS 1.2 will be required for all AWS FIPS endpoints. Observe que, embora o post faça referência aos endpoints de API FIPS, as informações sobre como consultar as versões do TLS são aplicáveis a todos os endpoints da API.

Serei notificado se estiver usando TLS 1.0 ou TLS 1.1?

Se detectarmos que você está usando TLS 1.0 ou 1.1, você será notificado em seu AWS Health Dashboard e receberá notificações por e-mail. No entanto, você não receberá notificação para conexões feitas anonimamente com recursos compartilhados da AWS, como um bucket público do Amazon Simple Storage Service (Amazon S3), porque não podemos identificar conexões anônimas. Além disso, embora façamos todos os esforços para identificar e notificar todos os clientes, existe a possibilidade de não detectarmos conexões pouco frequentes, como aquelas que ocorrem menos de uma vez por mês.

Como faço para atualizar meu cliente para utilizar TLS 1.2 ou TLS 1.3?

Se você estiver utilizando um AWS Software Developer Kit (AWS SDK) ou AWS Command Line Interface (AWS CLI), siga as orientações detalhadas sobre como examinar seu código de software de cliente e configurar adequadamente a versão TLS usada no post: TLS 1.2 will be required for all AWS FIPS endpoints. Também há informações relacionadas a identificar e atualizar a versão TLS do cliente em nossa apresentação AWS re:Inforce 2022 Uplifting AWS service API data protection to TLS 1.2+ (DPP202).

Incentivamos você a ser proativo para evitar um impacto na disponibilidade. Além disso, recomendamos que você teste as alterações de configuração em um ambiente de teste antes de introduzi-las no ambiente de produção.

Qual é o caso de uso mais comum de TLS 1.0 ou TLS 1.1?

O caso de uso mais comum de TLS 1.0 ou 1.1 são as versões do .NET Framework anteriores a 4.6.2. Se você usa o .NET Framework, confirme se está usando a versão 4.6.2 ou posterior. Para obter informações sobre como atualizar e configurar o .NET Framework para ter suporte ao TLS 1.2, consulte Como habilitar o TLS 1.2 em clientes na documentação do .NET Configuration Manager.

O que é Segurança da Camada de Transporte (TLS)?

Transport Layer Security (TLS) é um protocolo criptográfico que protege as comunicações de Internet. Seu software de cliente pode ser configurado para usar TLS versão 1.0, 1.1, 1.2 ou 1.3, ou um subconjunto desses, ao se conectar aos endpoints de serviço. Você deve garantir que seu software de cliente suporte TLS 1.2 ou posterior.

Há mais assistência disponível para ajudar a verificar ou atualizar meu software cliente?

Este vídeo, “Our AWS Supports You: Updating Your Clients to TLS 1.2 session“, fornece detalhes adicionais sobre esta próxima mudança, com uma explicação passo a passo do AWS CloudTrail Lake e compartilha orientações sobre como atualizar seus clientes de software.

Se você tiver dúvidas ou problemas, pode iniciar uma thread na comunidade re:Post da AWS ou pode entrar em contato com o AWS Support ou com o Technical Account Manager (TAM).

Além disso, você pode usar o AWS IQ para encontrar, colaborar com segurança e pagar por especialistas terceirizados certificados pela AWS para obter assistência sob demanda para atualizar seus componentes de cliente TLS. Para saber como enviar uma solicitação, obter respostas de especialistas e escolher o especialista com as habilidades e experiência adequadas, consulte a página do AWS IQ. Faça login no console de gerenciamento da AWS e selecione Get Started with AWS IQ para iniciar uma solicitação.

E se eu não conseguir atualizar meu software do cliente?

Se você não conseguir atualizar para TLS 1.2 ou TLS 1.3, entre em contato com o AWS Support ou com o seu Technical Account Manager (TAM) para que possamos trabalhar com você para identificar a melhor solução. Se você possui um bucket do Amazon Simple Storage Service (Amazon S3) que seus clientes usam para acessar o conteúdo utilizando TLS 1.0 ou TLS 1.1, você pode seguir esta orientação do Centro de Conhecimento da AWS em “Como permito acesso aos meus buckets do Amazon S3 para clientes que não utilizam TLS 1.2 ou superior?“. Observe que você também pode impor o uso de TLS 1.2 ou superior para todas as conexões com seus buckets S3 de acordo com esta orientação do Centro de Conhecimento da AWS.

Este artigo foi traduzido do Blog da AWS em inglês.

Sobre os autores

Janelle Hopper is a Senior Technical Program Manager in AWS Security with over 25 years of experience in the IT security field. She works with AWS services, infrastructure, and administrative teams to identify and drive innovative solutions that improve the AWS security posture.

 

 

 

 

Daniel Salzedo is a Senior Specialist Technical Account Manager – Security. He has over 25 years of professional experience in IT in industries as diverse as video game development, manufacturing, banking, and used car sales. He loves working with our wonderful AWS customers to help them solve their complex security challenges at scale.

 

 

 

 

Ben Sherman is a Software Development Engineer in AWS Security, where he focuses on automation to support AWS compliance obligations. He enjoys experimenting with computing and web services both at work and in his free time

 

 

 

 

Revisores

Liz Menichetti é Technical Account Manager na AWS. Desde 2019 auxilia os clientes da AWS com arquitetura e projetos de destaque nas mais variadas verticais da indústria, não só dando suporte aos clientes, mas também trazendo valor ao negócio com boas práticas de segurança, escalabilidade, resiliência, performance e excelência operacional.

 

 

 

 

Eduardo Inoue atua como Technical Account Manager na AWS empoderando clientes em sua jornada de nuvem. Possui mais de 13 anos de experiência em tecnologias de infraestrutura, como computação, rede e armazenamento. Apaixonado por tecnologia está sempre em busca de aprender novas soluções.