Security Hub-Steuerungen für ACM - AWS Security Hub
[ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden[ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden[ACM.3] ACM Zertifikate sollten markiert werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerungen für ACM

Diese Security Hub-Steuerelemente bewerten die AWS Certificate Manager (ACM) Service und Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

Verwandte Anforderungen: NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::ACM::Certificate

AWS Config Regel: acm-certificate-expiration-check

Art des Zeitplans: Änderung ausgelöst und periodisch

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

daysToExpiration

Anzahl der Tage, innerhalb derer das ACM Zertifikat erneuert werden muss

Ganzzahl

14 auf 365

30

Diese Kontrolle prüft, ob ein AWS Certificate Manager (ACM) Das Zertifikat wird innerhalb des angegebenen Zeitraums erneuert. Es prüft sowohl importierte Zertifikate als auch Zertifikate, die von bereitgestellt wurdenACM. Die Kontrolle schlägt fehl, wenn das Zertifikat nicht innerhalb des angegebenen Zeitraums erneuert wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Verlängerungszeitraum angeben, verwendet Security Hub einen Standardwert von 30 Tagen.

ACMkann Zertifikate, die eine DNS Validierung verwenden, automatisch erneuern. Bei Zertifikaten, die E-Mail-Validierung verwenden, müssen Sie auf eine E-Mail zur Domainvalidierung antworten. ACMerneuert importierte Zertifikate nicht automatisch. Sie müssen importierte Zertifikate manuell erneuern.

Abhilfe

ACMbietet eine verwaltete Verlängerung für Ihre SSL TLS /-Zertifikate, die von Amazon ausgestellt wurden. Das bedeutet, dass Ihre Zertifikate ACM entweder automatisch erneuert werden (wenn Sie die DNS Validierung verwenden) oder dass Sie per E-Mail benachrichtigt werden, wenn das Zertifikat bald abläuft. Diese Dienste werden sowohl für öffentliche als auch für private ACM Zertifikate bereitgestellt.

Für per E-Mail validierte Domains

Wenn ein Zertifikat 45 Tage vor Ablauf abläuft, wird dem Domaininhaber für jeden Domainnamen eine E-Mail ACM gesendet. Um die Domains zu validieren und die Verlängerung abzuschließen, müssen Sie auf die E-Mail-Benachrichtigungen antworten.

Weitere Informationen finden Sie unter Verlängerung für per E-Mail validierte Domains im AWS Certificate Manager Benutzerleitfaden.

Für Domains, die validiert wurden von DNS

ACMerneuert automatisch Zertifikate, für die eine DNS Validierung erforderlich ist. ACM Überprüft 60 Tage vor Ablauf, ob das Zertifikat erneuert werden kann.

Wenn ein Domainname nicht validiert werden kann, wird eine Benachrichtigung ACM gesendet, dass eine manuelle Überprüfung erforderlich ist. Diese Benachrichtigungen werden 45 Tage, 30 Tage, 7 Tage und 1 Tag vor Ablauf gesendet.

Weitere Informationen finden Sie unter Verlängerung für Domains, die von validiert wurden, DNS in AWS Certificate Manager Benutzerleitfaden.

[ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

Kategorie: Identifizieren > Inventar > Inventardienste

Schweregrad: Hoch

Art der Ressource: AWS::ACM::Certificate

AWS Config Regel: acm-certificate-rsa-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob RSA Zertifikate verwaltet werden von AWS Certificate Manager verwenden Sie eine Schlüssellänge von mindestens 2.048 Bit. Die Steuerung schlägt fehl, wenn die Schlüssellänge kleiner als 2.048 Bit ist.

Die Stärke der Verschlüsselung korreliert direkt mit der Schlüsselgröße. Wir empfehlen Schlüssellängen von mindestens 2.048 Bit, um Ihre AWS Ressourcen, da Rechenleistung immer günstiger wird und Server immer fortschrittlicher werden.

Abhilfe

Die Mindestschlüssellänge für RSA Zertifikate, die von ausgestellt wurden, ACM beträgt bereits 2.048 Bit. Anweisungen zum Ausstellen neuer RSA Zertifikate mit finden Sie ACM unter Zertifikate ausstellen und verwalten in AWS Certificate Manager Benutzerleitfaden.

ACMErmöglicht zwar den Import von Zertifikaten mit kürzeren Schlüssellängen, Sie müssen jedoch Schlüssel mit mindestens 2.048 Bit verwenden, um diese Kontrolle zu bestehen. Sie können die Schlüssellänge nach dem Import eines Zertifikats nicht ändern. Stattdessen müssen Sie Zertifikate mit einer Schlüssellänge von weniger als 2.048 Bit löschen. Weitere Informationen zum Importieren von Zertifikaten in ACM finden Sie unter Voraussetzungen für den Import von Zertifikaten in AWS Certificate Manager Benutzerleitfaden.

[ACM.3] ACM Zertifikate sollten markiert werden

Kategorie: Identifizieren > Inventar > Kennzeichnung

Schweregrad: Niedrig

Art der Ressource: AWS::ACM::Certificate

AWS Config Regel: tagged-acm-certificate (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Stichwörter, die übereinstimmen AWS Anforderungen Kein Standardwert

Diese Kontrolle prüft, ob ein AWS Certificate Manager (ACM) Das Zertifikat enthält Tags mit den spezifischen Schlüsseln, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Zertifikat keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.

Abhilfe

Informationen zum Hinzufügen von Tags zu einem ACM Zertifikat finden Sie unter Tagging AWS Certificate Manager Zertifikate im AWS Certificate Manager Benutzerleitfaden.