SEC09-BP01 Mettre en œuvre une gestion sécurisée des clés et des certificats

Les certificats Transport Layer Security (TLS) sont utilisés pour sécuriser les communications réseau et établir l'identité des sites Web, des ressources et des charges de travail sur Internet, ainsi que sur les réseaux privés.

Résultat souhaité : un système de gestion des certificats sécurisé capable de fournir, déployer, stocker et renouveler des certificats dans une infrastructure à clé publique (PKI). Un mécanisme sécurisé de gestion des clés et des certificats empêche la divulgation de la clé privée du certificat et renouvelle automatiquement et périodiquement le certificat. Il s’intègre également à d’autres services pour fournir des communications réseau et une identité sécurisées pour les ressources de la machine au sein de votre charge de travail. Les clés ne doivent jamais être accessibles aux identités humaines.

Anti-modèles courants :

Exécuter des étapes manuelles au cours des processus de déploiement ou de renouvellement des certificats.
Ne pas accorder suffisamment d’attention à la hiérarchie de l’autorité de certification (AC) lors de la conception d’une AC privée.
Utiliser des certificats auto-signés pour les ressources publiques.

Avantages liés au respect de cette bonne pratique :

Simplifiez la gestion des certificats en automatisant leur déploiement et leur renouvellement
Encourager le chiffrement des données en transit à l'aide de TLS certificats
Amélioration de la sécurité et de l’auditabilité des actions de certification entreprises par l’autorité de certification
Organisation des tâches de gestion à différents niveaux de la hiérarchie de l’AC

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Les charges de travail modernes utilisent largement les communications réseau cryptées à l'aide de PKI protocoles tels queTLS. PKIla gestion des certificats peut être complexe, mais le provisionnement, le déploiement et le renouvellement automatisés des certificats peuvent réduire les frictions associées à la gestion des certificats.

AWS fournit deux services pour gérer les PKI certificats à usage général : AWS Certificate Manageret AWS Private Certificate Authority ()AWS Private CA. ACMest le principal service que les clients utilisent pour fournir, gérer et déployer des certificats destinés à être utilisés à la fois dans des charges de AWS travail publiques et privées. ACMémet des certificats en utilisant AWS Private CA et s'intègre à de nombreux autres services AWS gérés afin de fournir des TLS certificats sécurisés pour les charges de travail.

AWS Private CA vous permet d'établir votre propre autorité de certification racine ou subordonnée et de délivrer TLS des certificats via unAPI. Vous pouvez utiliser ces types de certificats dans des scénarios dans lesquels vous contrôlez et gérez la chaîne de confiance du côté client de la TLS connexion. Outre les cas d'TLSutilisation, il AWS Private CA peut être utilisé pour émettre des certificats pour les pods Kubernetes, les attestations de produits Matter, la signature de code et d'autres cas d'utilisation à l'aide d'un modèle personnalisé. Vous pouvez également utiliser IAMRoles Anywhere pour fournir des IAM informations d'identification temporaires aux charges de travail locales qui ont reçu des certificats X.509 signés par votre autorité de certification privée.

En plus de ACM et AWS Private CAAWS IoT Corefournit un support spécialisé pour le provisionnement, la gestion et le déploiement de PKI certificats sur les appareils IoT. AWS IoT Core fournit des mécanismes spécialisés pour intégrer des appareils IoT dans votre infrastructure à clé publique à grande échelle.

Considérations relatives à l’établissement d’une hiérarchie d’autorité de certification privée

Lorsque vous devez établir une autorité de certification privée, il est important de prendre soin de concevoir correctement la hiérarchie de l’autorité de certification dès le départ. Il est recommandé de déployer chaque niveau de votre hiérarchie d'autorité de certification séparément Comptes AWS lors de la création d'une hiérarchie d'autorité de certification privée. Cette étape intentionnelle réduit la surface de chaque niveau de la hiérarchie de l'autorité de certification, ce qui facilite la détection des anomalies dans les données du CloudTrail journal et réduit l'étendue de l'accès ou l'impact en cas d'accès non autorisé à l'un des comptes. L’autorité de certification racine doit résider dans son propre compte et ne doit être utilisée que pour émettre un ou plusieurs certificats d’autorité de certification intermédiaire.

Créez ensuite un ou plusieurs comptes intermédiaires CAs distincts du compte de l'autorité de certification racine pour délivrer des certificats aux utilisateurs finaux, aux appareils ou à d'autres charges de travail. Enfin, émettez des certificats de votre autorité de certification racine à l'intermédiaireCAs, qui délivrera à son tour des certificats à vos utilisateurs finaux ou à vos appareils. Pour plus d'informations sur la planification du déploiement de votre autorité de certification et la conception de votre hiérarchie d'autorités de certification, notamment la planification de la résilience, la réplication entre régions, le partage CAs au sein de votre organisation, etc., consultez la section Planification de votre AWS Private CA déploiement.

Étapes d’implémentation

Déterminez les AWS services pertinents requis pour votre cas d'utilisation :
- De nombreux cas d'utilisation peuvent tirer parti de l'infrastructure à clé AWS publique existante en utilisant AWS Certificate Manager. ACMpeut être utilisé pour déployer des TLS certificats pour des serveurs Web, des équilibreurs de charge ou pour d'autres utilisations de certificats approuvés par le public.
- Envisagez AWS Private CA si vous devez établir votre propre hiérarchie d’autorité de certification privée ou si vous avez besoin d’accéder à des certificats exportables. ACMpeut ensuite être utilisé pour émettre de nombreux types de certificats d'entité finale à l'aide du AWS Private CA.
- Pour les cas d’utilisation où les certificats doivent être provisionnés à grande échelle pour les appareils de l’Internet des objets (IoT) embarqués, envisagez AWS IoT Core.
Mettez en œuvre le renouvellement automatisé des certificats dans la mesure du possible :
- Utilisez le renouvellement ACM géré pour les certificats émis par ACM ainsi que les services AWS gérés intégrés.
Établissez des journaux et des pistes d’audit :
- Activez CloudTrailles journaux pour suivre l'accès aux comptes détenant les autorités de certification. Envisagez de configurer la validation de l'intégrité du fichier journal CloudTrail pour vérifier l'authenticité des données du journal.
- Vous pouvez générer des rapports d’audit qui répertorient les certificats émis et révoqués par votre autorité de certification privée. Ces rapports peuvent être exportés vers un compartiment S3.
- Lorsque vous déployez une autorité de certification privée, vous devez également établir un compartiment S3 pour stocker la liste de révocation des certificats (CRL). Pour obtenir des conseils sur la configuration de ce compartiment S3 en fonction des exigences de votre charge de travail, consultez Planification d'une liste de révocation de certificats (CRL).

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Activer Private CA AWS Certificate Manager (atelier)

Exemples connexes :

Atelier sur les autorités de certification privées
IOTAtelier de gestion des appareils (y compris le provisionnement des appareils)

Outils associés :

Plugin du gestionnaire de certificats Kubernetes à utiliser AWS Private CA

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC9. Comment protéger vos données en transit ?

SEC09-BP02 Appliquer le chiffrement en transit