SEC09-BP01 Implementación de la administración segura de claves y certificados
Los certificados de seguridad de la capa de transporte (TLS) se utilizan para proteger las comunicaciones de red y establecer la identidad de los sitios web, los recursos y las cargas de trabajo a través de Internet, así como de las redes privadas.
Resultado deseado: un sistema de administración de certificados seguro que puede aprovisionar, implementar, almacenar y renovar certificados en una infraestructura de clave pública (PKI). Un mecanismo seguro de administración de claves y certificados evita que se divulgue el material de claves privadas del certificado y renueva automáticamente el certificado de forma periódica. También se integra con otros servicios para proporcionar comunicaciones de red e identidad seguras para los recursos de la máquina dentro de su carga de trabajo. Las identidades humanas nunca deben tener acceso al material de claves.
Patrones comunes de uso no recomendados:
-
Seguir pasos manuales durante los procesos de implementación o renovación del certificado.
-
No prestar suficiente atención a la jerarquía de la autoridad de certificación (CA) al diseñar una CA privada.
-
Usar certificados autofirmados para recursos públicos.
Beneficios de establecer esta práctica recomendada:
-
Simplificar la administración de certificados mediante la implementación y la renovación automatizadas
-
Fomentar el cifrado de los datos en tránsito mediante certificados TLS
-
Aumentar la seguridad y auditabilidad de las medidas de certificación adoptadas por la autoridad de certificación
-
Organizar las tareas de administración en los diferentes capas de la jerarquía de CA
Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto
Guía para la implementación
Las cargas de trabajo modernas hacen un uso extensivo de las comunicaciones de red cifradas mediante protocolos PKI como TLS. La administración de certificados de PKI puede ser compleja, pero el aprovisionamiento, la implementación y la renovación automatizados de los certificados pueden reducir la fricción asociada con la administración de certificados.
AWS proporciona dos servicios para administrar los certificados de PKI de uso general: AWS Certificate Manager y AWS Private Certificate Authority (AWS Private CA). ACM es el servicio principal que los clientes utilizan para aprovisionar, administrar e implementar certificados para su uso tanto en cargas de trabajo de AWS tanto públicas como privadas. ACM emite certificados privados mediante AWS Private CA y se integra con muchos otros servicios administrados de AWS para proporcionar certificados TLS seguros para las cargas de trabajo. ACM también puede emitir certificados de confianza pública de los servicios de confianza de Amazon
AWS Private CA le permite establecer su propia autoridad de certificación raíz o subordinada y emitir certificados TLS a través de una API. Puede usar este tipo de certificados en situaciones en las que controla y administra la cadena de confianza en el lado del cliente de la conexión TLS. Además de los casos de uso de TLS, AWS Private CA se puede utilizar para emitir certificados para pods de Kubernetes, atestaciones de productos de dispositivos Matter, firma de código y otros casos de uso con una plantilla personalizada. También puede utilizar IAM Roles Anywhere para proporcionar credenciales temporales de IAM a las cargas de trabajo en las instalaciones a las que se les hayan emitido certificados X.509 firmados por su CA privada.
Además de ACM y AWS Private CA, AWS IoT Core proporciona soporte especializado para el aprovisionamiento, la administración y la implementación de certificados de PKI en dispositivos IoT. AWS IoT Core proporciona mecanismos especializados para incorporar dispositivos IoT en su infraestructura de clave pública a escala.
Algunos servicios de AWS, como Amazon API Gateway y Elastic Load Balancing, ofrecen sus propias capacidades de uso de certificados para proteger las conexiones de las aplicaciones. Por ejemplo, tanto API Gateway como Application Load Balancer (ALB) admiten el TLS mutuo (mTLS) mediante certificados de cliente que se crean y exportan mediante la AWS Management Console, CLI o las API.
Consideraciones para establecer una jerarquía de CA privada
Si tiene que establecer una CA privada, es importante prestar especial atención para diseñar correctamente la jerarquía de CA desde el principio. Se recomienda implementar cada nivel de jerarquía de CA en Cuentas de AWS independientes al crear una jerarquía de CA privada. Este paso deliberado reduce el área de superficie de cada nivel de la jerarquía de CA, lo que facilita la detección de anomalías en los datos de registro de CloudTrail y reduce el alcance del acceso o el impacto si se produce un acceso no autorizado a una de las cuentas. La CA raíz debe residir en su propia cuenta independiente y solo debe usarse para emitir uno o más certificados de CA intermedios.
A continuación, cree una o más CA intermedias en cuentas independientes de la cuenta de la CA raíz para emitir certificados para los usuarios finales, los dispositivos u otras cargas de trabajo. Por último, emita certificados desde su CA raíz a las CA intermedias, que a su vez emitirán certificados para sus usuarios finales o dispositivos. Para obtener más información sobre la planificación de la implementación de la CA y el diseño de la jerarquía de las CA, incluida la planificación de la resiliencia, la replicación entre regiones, el uso compartido de las CA en toda la organización y mucho más, consulte Planificación de la implementación de AWS Private CA.
Pasos para la implementación
-
Determine los servicios de AWS pertinentes que necesita para su caso de uso:
-
Muchos casos de uso pueden utilizar la infraestructura de clave pública existente de AWS mediante AWS Certificate Manager. ACM se puede usar para implementar certificados TLS para servidores web, equilibradores de carga u otros usos para certificados de confianza pública.
-
Considere AWS Private CA cuando necesite establecer su propia jerarquía de autoridades de certificación privadas o necesite acceder a certificados exportables. ACM se puede utilizar entonces para emitir muchos tipos de certificados de entidad final mediante la AWS Private CA.
-
Para los casos de uso en los que los certificados se deben aprovisionar a escala para dispositivos de Internet de las cosas (IoT) integrados, considere AWS IoT Core.
-
Puede utilizar la funcionalidad mTLS nativa en servicios como Amazon API Gateway o Application Load Balancer.
-
-
Implemente la renovación automática de certificados siempre que sea posible:
-
Utilice la renovación administrada de ACM para los certificados emitidos por ACM junto con los servicios administrados de AWS integrados.
-
-
Establezca registros y registros de auditoría:
-
Habilite los registros de CloudTrail para hacer un seguimiento del acceso a las cuentas que tienen autoridades de certificación. Considere configurar la validación de integridad del archivo de registro en CloudTrail para verificar la autenticidad de los datos de registro.
-
Genere y revise periódicamente informes de auditoría que enumeren los certificados que su CA privada ha emitido o revocado. Estos informes se pueden exportar a un bucket de S3.
-
Al implementar una CA privada, también tendrá que establecer un bucket de S3 para almacenar la lista de revocación de certificados (CRL). Para obtener instrucciones sobre cómo configurar este bucket de S3 en función de los requisitos de su carga de trabajo, consulte Planificación de una lista de revocación de certificados (CRL).
-
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Videos relacionados:
Ejemplos relacionados:
-
IOT Device Management Workshop
(incluido el aprovisionamiento de dispositivos)
Herramientas relacionadas: