Security Hub-Steuerungen für AWS KMS - AWS Security Hub
[KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen[KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS[KMS.3] AWS KMS keys sollte nicht ungewollt gelöscht werden[KMS.4] AWS KMS Die Schlüsselrotation sollte aktiviert sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerungen für AWS KMS

Diese AWS Security Hub Kontrollen bewerten die AWS Key Management Service (AWS KMS) Service und Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[KMS.1] Von IAM Kunden verwaltete Richtlinien sollten Entschlüsselungsaktionen nicht für alle KMS Schlüssel zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::Policy

AWS Config Regel: iam-customer-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

  • excludePermissionBoundaryPolicy: True (nicht anpassbar)

Überprüft, ob die Standardversion der vom IAM Kunden verwalteten Richtlinien es Prinzipalen erlaubt, das zu verwenden AWS KMS Entschlüsselungsaktionen für alle Ressourcen. Die Kontrolle schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle KMS Schlüssel zuzulassenkms:Decrypt.

Das Steuerelement überprüft nur KMS Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie. Darüber hinaus bewertet das Steuerelement sowohl angehängte als auch nicht verknüpfte, vom Kunden verwaltete Richtlinien. Es überprüft keine Inline-Richtlinien oder AWS verwaltete Richtlinien.

Mit AWS KMS, Sie kontrollieren, wer Ihre KMS Schlüssel verwenden und Zugriff auf Ihre verschlüsselten Daten erhalten kann. IAMRichtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Befolgung bewährter Sicherheitsmethoden AWS empfiehlt, die Verwendung der geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die kms:ReEncryptFrom Berechtigungen kms:Decrypt oder und nur die Schlüssel gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt Berechtigungen für alle Schlüssel zu gewähren, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS Schlüssel. Erlauben Sie stattdessen kms:Decrypt nur Schlüssel in einer bestimmten Region für Ihr Konto. Durch die Anwendung des Prinzips der geringsten Rechte können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer vom IAM Kunden verwalteten Richtlinie finden Sie im IAMBenutzerhandbuch unter Bearbeiten von kundenverwalteten Richtlinien. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.2] IAM Prinzipale sollten keine IAM Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle Schlüssel zulassen KMS

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config Regel: iam-inline-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

Dieses Steuerelement prüft, ob die in Ihre IAM Identitäten (Rolle, Benutzer oder Gruppe) eingebetteten Inline-Richtlinien Folgendes zulassen AWS KMS Entschlüsselungs- und Neuverschlüsselungsaktionen für alle Schlüssel. KMS Die Kontrolle schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle KMS Schlüssel zuzulassenkms:Decrypt.

Das Steuerelement überprüft nur KMS Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie.

Mit AWS KMS, Sie kontrollieren, wer Ihre KMS Schlüssel verwenden und Zugriff auf Ihre verschlüsselten Daten erhalten kann. IAMRichtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Befolgung bewährter Sicherheitsmethoden AWS empfiehlt, die Verwendung der geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die Berechtigungen gewähren, die sie benötigen, und nur für Schlüssel, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt die Erlaubnis für alle Schlüssel zu erteilen, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es den Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS Schlüssel. Erlauben Sie die Erlaubnis stattdessen nur für bestimmte Schlüssel in einer bestimmten Region für Ihr Konto. Indem Sie das Prinzip der geringsten Rechte anwenden, können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer IAM Inline-Richtlinie finden Sie unter Bearbeiten von Inline-Richtlinien im IAMBenutzerhandbuch. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.3] AWS KMS keys sollte nicht ungewollt gelöscht werden

Verwandte Anforderungen: NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Schweregrad: Kritisch

Art der Ressource: AWS::KMS::Key

AWS Config Regel: kms-cmk-not-scheduled-for-deletion-2 (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob das Löschen von KMS Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn das Löschen eines KMS Schlüssels geplant ist.

KMSSchlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die unter einem KMS Schlüssel verschlüsselt wurden, können auch dauerhaft nicht wiederhergestellt werden, wenn der KMS Schlüssel gelöscht wird. Wenn aussagekräftige Daten mit einem KMS Schlüssel verschlüsselt wurden, der gelöscht werden soll, sollten Sie erwägen, die Daten zu entschlüsseln oder die Daten erneut mit einem neuen KMS Schlüssel zu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Löschung durch.

Wenn das Löschen eines KMS Schlüssels geplant ist, wird eine obligatorische Wartezeit durchgesetzt, um Zeit zu haben, den Löschvorgang rückgängig zu machen, falls er fälschlicherweise geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS Schlüssel gelöscht werden soll. Während der Wartezeit kann die geplante Löschung storniert werden und der KMS Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS Schlüsseln finden Sie unter Löschen von KMS Schlüsseln in der AWS Key Management Service Leitfaden für Entwickler.

Abhilfe

Informationen zum Abbrechen einer geplanten KMS Schlüssellöschung finden Sie unter So stornieren Sie das Löschen von Schlüsseln unter Planen und Abbrechen der Schlüssellöschung (Konsole) in der AWS Key Management Service Leitfaden für Entwickler.

[KMS.4] AWS KMS Die Schlüsselrotation sollte aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/3.6.4, CIS AWS Benchmark für Grundlagen v3.0.0/3.6, CIS AWS Benchmark für Fundamente v1.4.0/3.8, CIS AWS Grundlagen Benchmark v1.2.0/2.8, NIST.800-53.r5 SC-1 2, 2 (2), NIST.800-53.r5 SC-1 8 (3) NIST.800-53.r5 SC-2

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::KMS::Key

AWS Config Regel: cmk-backing-key-rotation-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

AWS KMS ermöglicht es Kunden, den Backing-Key zu rotieren. Dabei handelt es sich um das Hauptmaterial, das in AWS KMS und ist an die Schlüssel-ID des KMS Schlüssels gebunden. Der Unterstützungsschlüssel wird zum Durchführen kryptografischer Vorgänge wie z. B. Ver- und Entschlüsselungen verwendet. Die automatische Schlüsselrotation speichert derzeit alle vorherigen Unterstützungsschlüssel, sodass eine transparente Entschlüsselung verschlüsselter Daten erfolgen kann.

CISempfiehlt, dass Sie die KMS Schlüsselrotation aktivieren. Das Rotieren der Verschlüsselungsschlüssel trägt zur Verringerung der potenziellen Auswirkungen eines kompromittierten Schlüssels bei, da der Zugriff auf mit einem neuen Schlüssel verschlüsselte Daten mit einem vorherigen Schlüssel, der möglicherweise kompromittiert wurde, nicht möglich ist.

Abhilfe

Informationen zum Aktivieren der KMS Schlüsselrotation finden Sie unter So aktivieren und deaktivieren Sie die automatische Schlüsselrotation in der AWS Key Management Service Leitfaden für Entwickler.