Contrôles Security Hub pour Secrets Manager - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Secrets Manager

Ces AWS Security Hub les contrôles évaluent le AWS Secrets Manager service et ressources.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée

Exigences connexes : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Catégorie : Protéger - Développement sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

AWS Config règle : secretsmanager-rotation-enabled-check

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

maximumAllowedRotationFrequency

Nombre maximum de jours autorisés pour la fréquence de rotation secrète

Entier

1 sur 365

Aucune valeur par défaut

Ce contrôle vérifie si un secret est stocké dans AWS Secrets Manager est configuré avec une rotation automatique. Le contrôle échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le maximumAllowedRotationFrequency paramètre, le contrôle est transféré uniquement si le secret est automatiquement pivoté dans la fenêtre de temps spécifiée.

Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et API les clés tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.

Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets. Pour en savoir plus sur la rotation, voir Rotation de votre AWS Secrets Manager secrets dans le AWS Secrets Manager Guide de l'utilisateur.

Correction

Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour AWS Secrets Manager secrets relatifs à l'utilisation de la console dans AWS Secrets Manager Guide de l'utilisateur. Vous devez choisir et configurer un AWS Lambda fonction de rotation.

[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

Exigences connexes : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Catégorie : Protéger - Développement sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

AWS Config règle : secretsmanager-scheduled-rotation-success-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un AWS Secrets Manager le secret a fait l'objet d'une rotation réussie en fonction du calendrier de rotation. Le contrôle échoue si tel RotationOccurringAsScheduled est le casfalse. Le contrôle évalue uniquement les secrets dont la rotation est activée.

Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et API les clés tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.

Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets.

En plus de configurer les secrets pour qu'ils pivotent automatiquement, vous devez vous assurer que ces secrets pivotent correctement en fonction du calendrier de rotation.

Pour en savoir plus sur la rotation, voir Rotation de votre AWS Secrets Manager secrets dans le AWS Secrets Manager Guide de l'utilisateur.

Correction

Si la rotation automatique échoue, il est possible que Secrets Manager ait rencontré des erreurs lors de la configuration. Pour alterner les secrets dans Secrets Manager, vous utilisez une fonction Lambda qui définit la manière d'interagir avec la base de données ou le service propriétaire du secret.

Pour obtenir de l'aide sur le diagnostic et la correction des erreurs courantes liées à la rotation des secrets, consultez la section Résolution des problèmes AWS Secrets Manager rotation des secrets dans le AWS Secrets Manager Guide de l'utilisateur.

[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

Exigences connexes : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

AWS Config règle : secretsmanager-secret-unused

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

unusedForDays

Nombre maximal de jours pendant lesquels un secret peut rester inutilisé

Entier

1 sur 365

90

Ce contrôle vérifie si un AWS Secrets Manager le secret a été consulté dans le délai spécifié. Le contrôle échoue si un secret n'est pas utilisé au-delà de la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période d'accès, Security Hub utilise une valeur par défaut de 90 jours.

La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets non utilisés peuvent être utilisés à mauvais escient par leurs anciens utilisateurs, qui n'ont plus besoin d'accéder à ces secrets. De plus, au fur et à mesure que de plus en plus d'utilisateurs accèdent à un secret, quelqu'un peut l'avoir mal géré et divulgué à une entité non autorisée, ce qui augmente le risque d'abus. La suppression des secrets non utilisés permet de révoquer l'accès secret aux utilisateurs qui n'en ont plus besoin. Cela permet également de réduire le coût d'utilisation de Secrets Manager. Il est donc essentiel de supprimer régulièrement les secrets non utilisés.

Correction

Pour supprimer les secrets inactifs de Secrets Manager, voir Supprimer un AWS Secrets Manager secret dans le AWS Secrets Manager Guide de l'utilisateur.

[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

Exigences connexes : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

AWS Config règle : secretsmanager-secret-periodic-rotation

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

maxDaysSinceRotation

Nombre maximum de jours pendant lesquels un secret peut rester inchangé

Entier

1 sur 180

90

Ce contrôle vérifie si un AWS Secrets Manager le secret fait l'objet d'une rotation au moins une fois dans le délai spécifié. Le contrôle échoue si un secret n'est pas modifié au moins aussi fréquemment. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rotation, Security Hub utilise une valeur par défaut de 90 jours.

La rotation des secrets peut vous aider à réduire le risque d'une utilisation non autorisée de vos secrets dans votre Compte AWS. Les exemples incluent les informations d'identification de base de données, les mots de passe, API les clés tierces et même le texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, ils sont plus susceptibles d'être compromis.

À mesure que de plus en plus d'utilisateurs ont accès à un secret, il est plus probable que quelqu'un l'ait mal géré et l'ait divulgué à une entité non autorisée. Les secrets peuvent être divulgués à travers les journaux et les données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, les secrets doivent faire l’objet d’une rotation fréquente.

Vous pouvez configurer la rotation automatique pour les secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer les secrets à long terme par des secrets à court terme, réduisant ainsi considérablement le risque de compromission. Nous vous recommandons de configurer la rotation automatique des secrets de vos Secrets Manager. Pour plus d'informations, voir Rotation de votre AWS Secrets Manager secrets dans le AWS Secrets Manager Guide de l'utilisateur.

Correction

Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour AWS Secrets Manager secrets relatifs à l'utilisation de la console dans AWS Secrets Manager Guide de l'utilisateur. Vous devez choisir et configurer un AWS Lambda fonction de rotation.

[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::SecretsManager::Secret

AWS Config règle : tagged-secretsmanager-secret (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags qui répondent AWS exigences No default value

Ce contrôle vérifie si un AWS Secrets Manager Le secret possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le secret ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le secret n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.

Correction

Pour ajouter des tags à un secret de Secrets Manager, voir Tag AWS Secrets Manager secrets dans le AWS Secrets Manager Guide de l'utilisateur.