[新产品/新功能] Amazon API Gateway 现已支持适用于 REST API 的额外 TLS 安全策略

**发布时间:** 2025-11-19 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-api-gateway-tls-security-rest-apis/ ---  [新产品/新功能] Amazon API Gateway 现已支持适用于 REST API 的额外 TLS 安全策略   # 产品功能分析 ## 新功能/新产品概述 **Amazon API Gateway** 为其 **REST API** 服务推出了一系列增强的 **TLS (传输层安全)** 安全策略。该功能允许用户在配置 **API 端点**和**自定义域名**时，从一组预定义的、更严格的安全策略中进行选择，从而对 API 的加密通信协议和密码套件进行精细化控制。此功能的目标用户是那些对数据传输安全有高标准、需要满足特定行业或政府合规性要求的开发者和企业，例如金融、医疗保健和公共部门。其市场定位是强化 **API Gateway** 作为企业级 API 管理平台的核心安全能力，使其在安全性和合规性方面更具竞争力。 ## 关键客户价值 - **增强安全性与合规性** - 业务价值：通过一键选择预置策略，企业可以轻松满足如 **FIPS (联邦信息处理标准)** 等严格的合规要求，降低合规审计的复杂性和风险。同时，强制使用 **TLS 1.3** 等最新协议，能有效防御针对旧版协议的已知漏洞攻击。 - 差异化优势：前瞻性地支持**后量子密码学 (Post Quantum Cryptography)**，为客户提供了抵御未来量子计算破解威胁的长期保护。这在当前主流云服务商的同类产品中是一个显著的领先优势。 - **简化安全管理** - 业务价值：将复杂的 **TLS** 握手协议和加密套件配置抽象为几个明确的策略选项（如“仅TLS 1.3”、“FIPS合规”），极大地降低了安全配置的门槛和人为错误的风险，提升了开发和运维效率。 - 实现机制：AWS 预先定义并维护这些策略，确保其符合行业最佳实践，用户无需成为密码学专家即可应用高级别的安全防护。 - **提升数据传输的机密性** - 业务价值：支持**完全前向保密 (Perfect Forward Secrecy)** 的策略，确保即使服务器的长期私钥被泄露，攻击者也无法解密过去捕获的通信数据，从而保护历史通信的机密性。 - 使用场景：此特性对于处理高度敏感数据（如个人身份信息、支付数据、医疗记录）的 API 至关重要。 ## 关键技术洞察 - **策略驱动的 TLS 协商机制** - _基于预定义的策略模板来约束 TLS/SSL 握手过程_。当客户端尝试与 **API Gateway** 端点建立连接时，网关会根据所选策略，仅提供该策略允许的协议版本和加密套件列表。这种服务器端的强制性策略可以有效防止因客户端配置薄弱而引发的“降级攻击”。 - **前瞻性集成后量子密码学 (PQC)** - 技术创新点在于将抗量子攻击的密码学算法集成到 **TLS** 协议中。这通常通过一种混合模式实现，即在 **TLS** 握手过程中结合使用经典的非对称加密算法（如 ECDH）和一种抗量子攻击的密钥交换算法，确保通信在当前和未来都能抵御来自传统计算机和量子计算机的破解。 - **符合 FIPS 140-2 标准的加密模块** - 提供 **FIPS** 兼容策略意味着 **API Gateway** 在处理 **TLS** 终结时，其底层的加密操作是在经过美国国家标准与技术研究院 (NIST) 验证的加密模块中执行的。这对需要向美国联邦政府提供服务或有类似高合规要求的客户来说，是一个关键的技术实现和资质证明。   # Amazon API Gateway 现已为 REST API 提供额外的 TLS 安全策略支持 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-api-gateway-tls-security-rest-apis/](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-api-gateway-tls-security-rest-apis/) **发布时间:** 2025-11-19 **厂商:** AWS **类型:** WHATSNEW --- # Amazon API Gateway 现已为 REST API 提供额外的 TLS 安全策略支持发布于: 2025 年 11 月 19 日 Amazon API Gateway 现已在 API 端点和自定义域名上支持增强的 TLS 安全策略，让您能够更好地控制 API 的安全状况。这些新策略可帮助您满足不断变化的安全要求，遵守更严格的法规，并增强 API 连接的加密。在配置 REST API 和自定义域名时，您现在可以从一个扩展的安全策略列表中进行选择，包括仅要求 TLS 1.3、实现完全正向保密 (Perfect Forward Secrecy)、符合联邦信息处理标准 (Federal Information Processing Standard, FIPS) 或利用后量子密码学 (Post Quantum Cryptography) 的选项。这些策略有助于满足不断变化的安全要求和更严格的法规，同时简化 API 安全管理。增强的策略还支持端点访问控制，以实现额外的治理。 API Gateway 增强的 TLS 安全策略已在以下 AWS 商业区域推出：美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (北加利福尼亚)、美国西部 (俄勒冈)、非洲 (开普敦)、亚太地区 (香港)、亚太地区 (海得拉巴)、亚太地区 (雅加达)、亚太地区 (马来西亚)、亚太地区 (墨尔本)、亚太地区 (孟买)、亚太地区 (大阪)、亚太地区 (首尔)、亚太地区 (新加坡)、亚太地区 (悉尼)、亚太地区 (东京)、加拿大 (中部)、加拿大西部 (卡尔加里)、欧洲 (法兰克福)、欧洲 (爱尔兰)、欧洲 (伦敦)、欧洲 (米兰)、欧洲 (巴黎)、欧洲 (西班牙)、欧洲 (斯德哥尔摩)、欧洲 (苏黎世)、以色列 (特拉维夫)、中东 (阿联酋)、南美洲 (圣保罗)。要了解更多信息，请访问 [Amazon API Gateway 文档](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-security-policies.html) 。