Controles de Security Hub para ACM - AWS Security Hub
[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits[ACM.3] ACM los certificados deben estar etiquetados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para ACM

Estos controles de Security Hub evalúan la AWS Certificate Manager (ACM) servicio y recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

Requisitos relacionados: NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::ACM::Certificate

AWS Config regla: acm-certificate-expiration-check

Tipo de programa: provocado por cambios y periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

daysToExpiration

Número de días en los que se debe renovar el ACM certificado

Entero

De 14 a 365

30

Este control comprueba si un AWS Certificate Manager (ACM) el certificado se renueva dentro del período de tiempo especificado. Comprueba tanto los certificados importados como los certificados expedidos porACM. Se produce un error en el control si el certificado no se renueva en el periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de renovación, Security Hub utiliza un valor predeterminado de 30 días.

ACMpuede renovar automáticamente los certificados que utilizan DNS la validación. En el caso de los certificados que utilizan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACMno renueva automáticamente los certificados que usted importe. Debe renovar los certificados importados manualmente.

Corrección

ACMproporciona una renovación gestionada para tus TLS certificadosSSL/emitidos por Amazon. Esto significa que ACM renueva tus certificados automáticamente (si utilizas la DNS validación) o te envía avisos por correo electrónico cuando se acerca el vencimiento del certificado. Estos servicios se proporcionan tanto para ACM certificados públicos como privados.

Para dominios validados por correo electrónico

Cuando un certificado está a 45 días de caducar, ACM envía al propietario del dominio un correo electrónico para cada nombre de dominio. Para validar los dominios y completar la renovación, debe responder a las notificaciones por correo electrónico.

Para obtener más información, consulte Renovación de dominios validados por correo electrónico en la AWS Certificate Manager Guía del usuario.

Para dominios validados por DNS

ACMrenueva automáticamente los certificados que utilizan la DNS validación. 60 días antes del vencimiento, ACM verifica que el certificado se pueda renovar.

Si no puede validar un nombre de dominio, ACM envía una notificación en la que se indica que es necesaria la validación manual. Envía estas notificaciones 45 días, 30 días, 7 días y 1 día antes de la fecha de vencimiento.

Para obtener más información, consulte Renovación de los dominios validados por DNS el AWS Certificate Manager Guía del usuario.

[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

Categoría: Identificar > Inventario > Servicios de inventario

Gravedad: alta

Tipo de recurso: AWS::ACM::Certificate

AWS Config regla: acm-certificate-rsa-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si RSA los certificados gestionados por AWS Certificate Manager utilice una longitud de clave de al menos 2.048 bits. El control falla si la longitud de la clave es inferior a 2048 bits.

La fuerza del cifrado se correlaciona directamente con el tamaño de la clave. Recomendamos una longitud de clave de al menos 2.048 bits para proteger su AWS recursos a medida que la potencia de cálculo se abarata y los servidores se vuelven más avanzados.

Corrección

La longitud mínima de clave para RSA los certificados emitidos por ya ACM es de 2.048 bits. Para obtener instrucciones sobre cómo emitir nuevos RSA certificados conACM, consulte Emisión y administración de certificados en la AWS Certificate Manager Guía del usuario.

Si bien ACM le permite importar certificados con longitudes de clave más cortas, debe utilizar claves de al menos 2048 bits para pasar este control. No se puede cambiar la longitud de la clave después de importar un certificado. En su lugar, debe eliminar los certificados con una longitud de clave inferior a 2048 bits. Para obtener más información sobre la importación de certificados aACM, consulte Requisitos previos para la importación de certificados en AWS Certificate Manager Guía del usuario.

[ACM.3] ACM los certificados deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::ACM::Certificate

AWS Config regla: tagged-acm-certificate (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS requisitos Sin valor predeterminado

Este control comprueba si un AWS Certificate Manager (ACM) el certificado tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.

Corrección

Para añadir etiquetas a un ACM certificado, consulte Etiquetado AWS Certificate Manager certificados en el AWS Certificate Manager Guía del usuario.