Security Hub-Steuerungen für AWS KMS - AWS Security Hub
[KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen[KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein[KMS.5] KMS Schlüssel sollten nicht öffentlich zugänglich sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerungen für AWS KMS

Diese AWS Security Hub Kontrollen bewerten den AWS Key Management Service (AWS KMS) Dienst und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::Policy

AWS Config -Regel: iam-customer-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

  • excludePermissionBoundaryPolicy: True (nicht anpassbar)

Überprüft, ob die Standardversion der vom IAM Kunden verwalteten Richtlinien es Prinzipalen erlaubt, die AWS KMS Entschlüsselungsaktionen für alle Ressourcen zu verwenden. Die Kontrolle schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle KMS Schlüssel zuzulassenkms:Decrypt.

Das Steuerelement überprüft nur KMS Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie. Darüber hinaus bewertet das Steuerelement sowohl angehängte als auch nicht verknüpfte, vom Kunden verwaltete Richtlinien. Inline-Richtlinien oder AWS verwaltete Richtlinien werden nicht geprüft.

Damit kontrollieren Sie AWS KMS, wer Ihre KMS Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAMRichtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die kms:ReEncryptFrom Berechtigungen kms:Decrypt oder und nur die Schlüssel gewähren, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt Berechtigungen für alle Schlüssel zu gewähren, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS Schlüssel. Erlauben Sie stattdessen kms:Decrypt nur Schlüssel in einer bestimmten Region für Ihr Konto. Durch die Anwendung des Prinzips der geringsten Rechte können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer vom IAM Kunden verwalteten Richtlinie finden Sie im IAMBenutzerhandbuch unter Bearbeiten von kundenverwalteten Richtlinien. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config -Regel: iam-inline-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

Dieses Steuerelement prüft, ob die in Ihre IAM Identitäten (Rolle, Benutzer oder Gruppe) eingebetteten Inline-Richtlinien die AWS KMS Entschlüsselung und erneute Verschlüsselung für alle Schlüssel zulassen. KMS Die Kontrolle schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle kms:Decrypt Schlüssel zuzulassen. KMS

Das Steuerelement überprüft nur KMS Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie.

Mit steuern Sie AWS KMS, wer Ihre KMS Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAMRichtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die Berechtigungen gewähren, die sie benötigen, und nur für Schlüssel, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt die Erlaubnis für alle Schlüssel zu erteilen, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es den Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS Schlüssel. Erlauben Sie die Erlaubnis stattdessen nur für bestimmte Schlüssel in einer bestimmten Region für Ihr Konto. Indem Sie das Prinzip der geringsten Rechte anwenden, können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer IAM Inline-Richtlinie finden Sie unter Bearbeiten von Inline-Richtlinien im IAMBenutzerhandbuch. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden

Verwandte Anforderungen: NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Schweregrad: Kritisch

Art der Ressource: AWS::KMS::Key

AWS Config Regel: kms-cmk-not-scheduled-for-deletion-2 (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob das Löschen von KMS Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn das Löschen eines KMS Schlüssels geplant ist.

KMSSchlüssel können nach dem Löschen nicht wiederhergestellt werden. Mit einem KMS Schlüssel verschlüsselte Daten können auch dauerhaft nicht wiederhergestellt werden, wenn der KMS Schlüssel gelöscht wird. Wenn aussagekräftige Daten mit einem KMS Schlüssel verschlüsselt wurden, der gelöscht werden soll, sollten Sie erwägen, die Daten zu entschlüsseln oder die Daten erneut mit einem neuen KMS Schlüssel zu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Löschung durch.

Wenn das Löschen eines KMS Schlüssels geplant ist, wird eine obligatorische Wartezeit durchgesetzt, um Zeit zu haben, den Löschvorgang rückgängig zu machen, falls er fälschlicherweise geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS Schlüssel gelöscht werden soll. Während der Wartezeit kann die geplante Löschung storniert werden und der KMS Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS Schlüsseln finden Sie unter Löschen von KMS Schlüsseln im AWS Key Management Service Entwicklerhandbuch.

Abhilfe

Informationen zum Abbrechen einer geplanten KMS Schlüssellöschung finden Sie im AWS Key Management Service Entwicklerhandbuch unter So brechen Sie das Löschen von Schlüsseln ab (Konsole) unter So brechen Sie das Löschen von Schlüsseln ab.

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/3.6, Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, CIS AWS 2 ( NIST.800-53.r5 SC-12), 8 (3), v3.2.1/3.6.4, v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 PCI DSS PCI DSS

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::KMS::Key

AWS Config -Regel: cmk-backing-key-rotation-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

AWS KMS ermöglicht es Kunden, den Backing-Schlüssel, bei dem es sich um Schlüsselmaterial handelt, das gespeichert ist AWS KMS und mit der Schlüssel-ID des Schlüssels verknüpft ist, abwechselnd zu KMS verwenden. Der Unterstützungsschlüssel wird zum Durchführen kryptografischer Vorgänge wie z. B. Ver- und Entschlüsselungen verwendet. Die automatische Schlüsselrotation speichert derzeit alle vorherigen Unterstützungsschlüssel, sodass eine transparente Entschlüsselung verschlüsselter Daten erfolgen kann.

CISempfiehlt, die KMS Schlüsselrotation zu aktivieren. Das Rotieren der Verschlüsselungsschlüssel trägt zur Verringerung der potenziellen Auswirkungen eines kompromittierten Schlüssels bei, da der Zugriff auf mit einem neuen Schlüssel verschlüsselte Daten mit einem vorherigen Schlüssel, der möglicherweise kompromittiert wurde, nicht möglich ist.

Abhilfe

Informationen zur Aktivierung der KMS Schlüsselrotation finden Sie unter So aktivieren und deaktivieren Sie die automatische Schlüsselrotation im AWS Key Management Service Entwicklerhandbuch.

[KMS.5] KMS Schlüssel sollten nicht öffentlich zugänglich sein

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Kritisch

Art der Ressource: AWS::KMS::Key

AWS Config -Regel: kms-key-policy-no-public-access

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dadurch wird geprüft, ob ein AWS KMS Schlüssel öffentlich zugänglich ist. Die Kontrolle schlägt fehl, wenn der KMS Schlüssel öffentlich zugänglich ist.

Die Implementierung des Zugriffs mit den geringsten Rechten ist von grundlegender Bedeutung, um das Sicherheitsrisiko und die Auswirkungen von Fehlern oder böswilligen Absichten zu verringern. Wenn eine KMS wichtige Richtlinie den Zugriff von externen Konten aus ermöglicht, bedeutet dies, dass Dritte Daten mithilfe von Schlüsseln in Ihrem AWS-Konto Konto ver- und entschlüsseln können. Dies kann zur Datenexfiltration aller Dienste führen, die den Schlüssel verwenden, durch eine Insider-Bedrohung oder einen Angreifer.

Abhilfe

Informationen zum Aktualisieren einer KMS wichtigen Richtlinie finden Sie unter Wichtige Richtlinien AWS KMS im Entwicklerhandbuch.AWS Key Management Service