Controles de Security Hub para ACM - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para ACM

Estos controles de Security Hub evalúan el servicio y los recursos AWS Certificate Manager (ACM).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

Requisitos relacionados: NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), v4.0.1/4.2.1 PCI DSS

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::ACM::Certificate

Regla de AWS Config : acm-certificate-expiration-check

Tipo de programa: activado por cambios y periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

daysToExpiration

Número de días en los que se debe renovar el ACM certificado

Entero

De 14 a 365

30

Este control comprueba si un certificado AWS Certificate Manager (ACM) se renueva dentro del período de tiempo especificado. Comprueba tanto los certificados importados como los certificados proporcionados por ACM. Se produce un error en el control si el certificado no se renueva en el periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de renovación, Security Hub utiliza un valor predeterminado de 30 días.

ACMpuede renovar automáticamente los certificados que utilizan DNS la validación. En el caso de los certificados que utilizan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACMno renueva automáticamente los certificados que importe. Debe renovar los certificados importados manualmente.

Corrección

ACMproporciona una renovación gestionada para tus TLS certificadosSSL/emitidos por Amazon. Esto significa que ACM renueva tus certificados automáticamente (si utilizas la DNS validación) o te envía avisos por correo electrónico cuando se acerca el vencimiento del certificado. Estos servicios se proporcionan tanto para ACM certificados públicos como privados.

Para dominios validados por correo electrónico

Cuando un certificado está a 45 días de caducar, ACM envía al propietario del dominio un correo electrónico para cada nombre de dominio. Para validar los dominios y completar la renovación, debe responder a las notificaciones por correo electrónico.

Para obtener más información, consulte Renovación de dominios validados por correo electrónico en la Guía del usuario de AWS Certificate Manager .

Para los dominios validados por DNS

ACMrenueva automáticamente los certificados que utilizan la DNS validación. 60 días antes del vencimiento, ACM verifica que el certificado se pueda renovar.

Si no puede validar un nombre de dominio, ACM envía una notificación en la que se indica que es necesaria la validación manual. Envía estas notificaciones 45 días, 30 días, 7 días y 1 día antes de la fecha de vencimiento.

Para obtener más información, consulte Renovación de dominios validados por DNS en la Guía del AWS Certificate Manager usuario.

[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

Requisitos relacionados: PCI DSS v4.0.1/4.2.1

Categoría: Identificar > Inventario > Servicios de inventario

Gravedad: alta

Tipo de recurso: AWS::ACM::Certificate

Regla de AWS Config : acm-certificate-rsa-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los RSA certificados gestionados AWS Certificate Manager utilizan una longitud de clave de al menos 2.048 bits. El control falla si la longitud de la clave es inferior a 2048 bits.

La fuerza del cifrado se correlaciona directamente con el tamaño de la clave. Recomendamos una longitud de clave de al menos 2.048 bits para proteger AWS los recursos, ya que la potencia de cálculo se abarata y los servidores se vuelven más avanzados.

Corrección

La longitud mínima de clave para RSA los certificados emitidos por ya ACM es de 2.048 bits. Para obtener instrucciones sobre cómo emitir nuevos RSA certificados conACM, consulte Emisión y administración de certificados en la Guía del AWS Certificate Manager usuario.

Si bien ACM permite importar certificados con longitudes de clave más cortas, debe utilizar claves de al menos 2048 bits para pasar este control. No se puede cambiar la longitud de la clave después de importar un certificado. En su lugar, debe eliminar los certificados con una longitud de clave inferior a 2048 bits. Para obtener más información sobre la importación de certificados aACM, consulte los requisitos previos para la importación de certificados en la Guía del AWS Certificate Manager usuario.

[ACM.3] ACM los certificados deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::ACM::Certificate

Regla de AWS Config : tagged-acm-certificate (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen los requisitos de AWS Sin valor predeterminado

Este control comprueba si un certificado AWS Certificate Manager (ACM) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un ACM certificado, consulte Etiquetado de AWS Certificate Manager certificados en la Guía del AWS Certificate Manager usuario.