TLS1.1を利用しているクライアントアプリを特定するには

0

AWS SDK(C#)を利用してクライアントからAmazon SESを利用してメールを送信しております。 その際、クライアントアプリや拠点は複数あり、TLS1.1で通信しているアプリを特定することは可能でしょうか。

尚、WireShark等のパケットキャプチャ/モニタリングツールで特定可能ですが、こちら側の状況として各端末に左記のアプリを入れるのはポリシーとして不可という状況です。

以下、調査してわかっていることとなります。

  • S3へのアクセスについては、CloudTrail Lakeで特定可能
  • SESについては、CloudTrail Lakeではそこまでの情報は拾えない
  • VPCのフロータグでは送信元IPはわかるが、TLSバージョンまではわからない
1回答
3
承認された回答

ご期待に沿えない回答となり恐縮ではございますが、SES を使用した E メール送信において使用される TLS バージョンをご確認いただけるような AWS の機能は、現時点で提供されていない状況でございます。

AWS の各種 API リクエストにおいて使用された TLS バージョンをご確認いただける機能としまして、CloudTrail のイベントレコードに含まれる tlsDetails フィールドがございます。[1]

しかしながら、SendEmail や SendRawEmail、SMTP インターフェイスを経由したメールの送信リクエストといった SES のメール送信系のリクエストにつきましては、CloudTrail に記録されない仕様となっております。[2]

メール送信系のリクエストを CloudTrail に記録する方法がございませんため、AWS の機能により、E メール送信時に使用される TLS バージョンをお客様側からご確認いただく方法はないものとご理解いただけますと幸いでございます。

上記のため、当該の TLS バージョンにつきましては、ブログ記事 [3] の "How can I detect if I am using TLS 1.0 or TLS 1.1?" セクションにてご案内しておりますように、コードやネットワーク分析等により特定していただく必要がございます。

お客様におかれましては、パケットキャプチャツールを使用したネットワーク分析が困難な状況とのことですので、ドキュメント [4] にてご案内している確認方法が実施可能であるかご検討いただけますと幸いでございます。


[1] https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-supported-tls-details.html

[2] https://docs.aws.amazon.com/ses/latest/dg/logging-using-cloudtrail.html

[3] https://aws.amazon.com/jp/blogs/security/tls-1-2-required-for-aws-fips-endpoints/

[4] https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/enforcing-tls.html

AWS
回答済み 7ヶ月前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ