SEC09-BP01 Implementieren Sie eine sichere Schlüssel- und Zertifikatsverwaltung - AWS Well-Architected Framework
Implementierungsleitfaden Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC09-BP01 Implementieren Sie eine sichere Schlüssel- und Zertifikatsverwaltung

Transport Layer Security (TLS) -Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites, Ressourcen und Workloads über das Internet sowie von privaten Netzwerken nachzuweisen.

Gewünschtes Ergebnis: Ein sicheres Zertifikatsverwaltungssystem, das Zertifikate in einer Public-Key-Infrastruktur bereitstellen, bereitstellen, speichern und erneuern kann (PKI). Ein sicherer Schlüssel- und Zertifikatverwaltungsmechanismus verhindert die Offenlegung von Zertifikatdaten mit privaten Schlüsseln und erneuert das Zertifikat automatisch in regelmäßigen Abständen. Er lässt sich auch in andere Services integrieren, um eine sichere Netzwerkkommunikation und Identität für Computerressourcen innerhalb Ihrer Workload zu gewährleisten. Schlüsseldaten sollten niemals für menschliche Identitäten zugänglich sein.

Typische Anti-Muster:

  • Während der Bereitstellung oder Verlängerung von Zertifikaten werden manuelle Schritte ausgeführt.

  • Beim Entwerfen einer privaten Zertifizierungsstelle (Certificate Authority, CA) wird die Hierarchie der Zertifizierungsstelle nicht ausreichend beachtet.

  • Für öffentliche Ressourcen werden selbstsignierte Zertifikate verwendet.

Vorteile der Nutzung dieser bewährten Methode:

  • Die Zertifikatverwaltung wird durch automatisierte Bereitstellung und Verlängerung vereinfacht.

  • Förderung der Verschlüsselung von Daten bei der Übertragung mithilfe von TLS Zertifikaten

  • Sicherheit und Überprüfbarkeit der von der Zertifizierungsstelle ausgeführten Zertifikataktionen werden gesteigert.

  • Verwaltungsaufgaben werden auf verschiedenen Ebenen der CA-Hierarchie strukturiert.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Moderne Workloads nutzen in großem Umfang verschlüsselte Netzwerkkommunikation mithilfe von PKI Protokollen wieTLS. PKIDie Zertifikatsverwaltung kann komplex sein, aber die automatisierte Bereitstellung, Bereitstellung und Erneuerung von Zertifikaten kann die Reibungsverluste im Zusammenhang mit der Zertifikatsverwaltung verringern.

AWS bietet zwei Dienste zur Verwaltung von PKI Zertifikaten für allgemeine Zwecke: AWS Certificate Managerund AWS Private Certificate Authority ().AWS Private CA ACMist der Hauptdienst, den Kunden für die Bereitstellung, Verwaltung und Bereitstellung von Zertifikaten sowohl für öffentliche als auch für private Workloads verwenden. AWS ACMstellt Zertifikate mithilfe vieler anderer AWS verwalteter Dienste aus AWS Private CA und lässt sich in diese integrieren, um sichere TLS Zertifikate für Workloads bereitzustellen.

AWS Private CA ermöglicht es Ihnen, Ihre eigene Stammzertifizierungsstelle oder untergeordnete Zertifizierungsstelle einzurichten und TLS Zertifikate über eine auszustellen. API Sie können diese Art von Zertifikaten in Szenarien verwenden, in denen Sie die Vertrauenskette auf der Clientseite der TLS Verbindung kontrollieren und verwalten. Zusätzlich zu TLS Anwendungsfällen AWS Private CA können sie verwendet werden, um Zertifikate für Kubernetes-Pods, Matter-Geräteproduktbescheinigungen, Codesignaturen und andere Anwendungsfälle mit einer benutzerdefinierten Vorlage auszustellen. Sie können IAMRoles Anywhere auch verwenden, um temporäre IAM Anmeldeinformationen für lokale Workloads bereitzustellen, für die von Ihrer privaten CA signierte X.509-Zertifikate ausgestellt wurden.

Zusätzlich zu ACM und AWS Private CAAWS IoT Corebietet speziellen Support für die Bereitstellung, Verwaltung und Bereitstellung von PKI Zertifikaten für IoT-Geräte. AWS IoT Core bietet spezielle Mechanismen für die skalierbare Integration von IoT-Geräten in Ihre Public-Key-Infrastruktur.

Überlegungen zur Einrichtung einer privaten CA-Hierarchie

Wenn Sie eine private Zertifizierungsstelle einrichten müssen, ist es wichtig, dass Sie besonders darauf achten, die CA-Hierarchie im Voraus richtig zu entwerfen. Es hat sich bewährt, AWS-Konten bei der Erstellung einer privaten CA-Hierarchie jede Ebene Ihrer CA-Hierarchie separat bereitzustellen. Durch diesen gezielten Schritt wird die Oberfläche für jede Ebene in der CA-Hierarchie reduziert, wodurch es einfacher wird, Anomalien in den CloudTrail Protokolldaten zu erkennen und den Umfang des Zugriffs oder die Auswirkungen eines unbefugten Zugriffs auf eines der Konten zu verringern. Die Stammzertifizierungsstelle sollte sich in einem eigenen separaten Konto befinden und nur zur Ausstellung eines oder mehrerer Zertifikate für eine Zwischenzertifizierungsstelle verwendet werden.

Erstellen Sie anschließend ein oder mehrere CAs Zwischenkonten, die vom Konto der Stammzertifizierungsstelle getrennt sind, um Zertifikate für Endbenutzer, Geräte oder andere Workloads auszustellen. Stellen Sie abschließend Zertifikate von Ihrer Stammzertifizierungsstelle an die CAs Zwischenzertifizierungsstelle aus, die wiederum Zertifikate für Ihre Endbenutzer oder Geräte ausstellt. Weitere Informationen zur Planung Ihrer CA-Bereitstellung und zum Entwerfen Ihrer CA-Hierarchie, einschließlich Planung von Ausfallsicherheit, regionsübergreifender Replikation, CAs unternehmensübergreifender Freigabe und mehr, finden Sie unter Planung Ihrer AWS Private CA Bereitstellung.

Implementierungsschritte

  1. Ermitteln Sie die relevanten AWS Dienste, die für Ihren Anwendungsfall erforderlich sind:

    • In vielen Anwendungsfällen kann die bestehende AWS Public-Key-Infrastruktur genutzt AWS Certificate Managerwerden. ACMkann verwendet werden, um TLS Zertifikate für Webserver, Load Balancer oder andere Zwecke für öffentlich vertrauenswürdige Zertifikate bereitzustellen.

    • Ziehen Sie die Verwendung von AWS Private CA in Betracht, wenn Sie Ihre eigene private Zertifizierungsstellenhierarchie einrichten müssen oder Zugriff auf exportierbare Zertifikate benötigen. ACMkann dann verwendet werden, um viele Arten von Endentitätszertifikaten mit dem auszustellen. AWS Private CA

    • Für Anwendungsfälle, in denen in großem Umfang Zertifikate für eingebettete IoT-Geräte (Internet of Things, Internet der Dinge) bereitgestellt werden müssen, empfiehlt sich gegebenenfalls die Verwendung von AWS IoT Core.

  2. Implementieren Sie nach Möglichkeit eine automatisierte Zertifikatverlängerung:

    • Verwenden Sie die ACMverwaltete Verlängerung für Zertifikate, die ACM zusammen mit integrierten AWS Managed Services ausgestellt wurden.

  3. Richten Sie Protokollierung und Audit Trails ein:

    • Aktivieren Sie CloudTrailProtokolle, um den Zugriff auf die Konten der Zertifizierungsstellen nachzuverfolgen. Erwägen Sie, die Integritätsprüfung der Protokolldatei CloudTrail zu konfigurieren, um die Authentizität der Protokolldaten zu überprüfen.

    • Generieren und überprüfen Sie regelmäßig Auditberichte, in denen die Zertifikate aufgeführt werden, die Ihre private CA ausgestellt oder widerrufen hat. Diese Berichte können in einen S3-Bucket exportiert werden.

    • Wenn Sie eine private Zertifizierungsstelle bereitstellen, müssen Sie außerdem einen S3-Bucket einrichten, in dem die Zertifikatssperrliste (CRL) gespeichert wird. Anleitungen zur Konfiguration dieses S3-Buckets auf der Grundlage der Anforderungen Ihres Workloads finden Sie unter Planung einer Zertifikatssperrliste (CRL).

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Zugehörige Tools: