亚马逊云科技(AWS)最近推出了VPC加密控制功能,允许客户验证 VPC 内部和 VPC 之间的流量是否加密,并在支持的地方要求加密。该功能提供了对未加密流量的可见性,支持使用兼容的基于 Nitro 的基础设施进行强制执行,并允许排除无法加密流量的资源。
据云服务提供商称,这项新功能有助于组织在他们的 AWS 环境中应用一致的加密标准,并展示符合 HIPAA、PCI DSS 和 FedRAMP 等监管框架的合规性,这些框架要求全面加密。AWS 的首席开发者倡导者Sébastien Stormacq解释道:
金融服务、医疗保健、政府和零售等行业的组织在维护云基础设施的加密合规性方面面临着重大的操作复杂性。传统方法需要将多个解决方案拼凑在一起,并管理复杂的公钥基础设施(PKI),同时手动使用电子表格跟踪不同网络路径上的加密。
虽然社区的反应大多是积极的,但许多人最初对定价方法表示困惑,或者质疑为什么应该为安全控制付费。用户 kei_ichi 写道:
这个功能应该默认启用并且免费。
管理员可以为现有的 VPC 启用该功能,以监控流量流的加密状态,并识别无意中允许明文流量的 VPC 资源。云安全顾问和 AWS 安全英雄Chris Farris在他的re:Invent概述中写道:
让我们从为什么应该避免这种情况开始——每个非空 VPC 每月 110 美元。如果你需要“满足像 HIPAA 和 PCI DSS 这样严格的合规标准”和“展示符合加密标准”,这绝对是值得的。
VPC 加密控制有两种操作模式:监控和强制执行。激活后,强制执行模式确保所有新资源仅在兼容的 Nitro 实例上创建,并且在检测到错误的协议或端口时丢弃任何未加密的流量。
来源:AWS 博客
管理员只有将所有资源迁移到兼容加密的基础架构后,才能启用强制模式。Farris 指出:
如果你的 VPC 中有未加密传输的资源,你不能启用强制执行模式。这里的迁移工作将非常巨大,但如果你的审计员要求你手工完成这项工作,这些成本是值得的。
这需要首先升级到支持的硬件和通信协议。可以为不支持加密的资源(如互联网或 NAT 网关)配置特定的排除,因为它们的流量离开了 AWS 网络。在“理解现代云安全中的 VPC 加密”的文章中,Anish Kumar补充道:
对于你的云安全态势,你可以自信并有证据地回答这个问题:“我所有的 VPC 中的流量都加密了吗?”从合规审计的角度来看,你可以在流量日志和排除列表中展示加密状态。
这项新功能目前在 AWS 的一些区域可用,包括弗吉尼亚北部、爱尔兰、伦敦和新加坡。在 3 月 1 日之前,VPC 加密控制将免费使用,之后将对每个非空 VPC 收取固定的小时费,每小时 0.15 美元起。
原文链接:
https://www.infoq.com/news/2026/01/aws-vpc-encryption-controls
