Kontrol Security Hub untuk ACM - AWS Security Hub
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit[ACM.3] ACM sertifikat harus ditandai

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk ACM

Kontrol Security Hub ini mengevaluasi AWS Certificate Manager (ACM) layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu

Persyaratan terkait: NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/4.2.1

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ACM::Certificate

AWS Config aturan: acm-certificate-expiration-check

Jenis jadwal: Perubahan yang dipicu dan berkala

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

daysToExpiration

Jumlah hari di mana ACM sertifikat harus diperpanjang

Bilangan Bulat

14 untuk 365

30

Kontrol ini memeriksa apakah sertifikat AWS Certificate Manager (ACM) diperpanjang dalam jangka waktu yang ditentukan. Ini memeriksa sertifikat impor dan sertifikat yang disediakan olehACM. Kontrol gagal jika sertifikat tidak diperpanjang dalam jangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode perpanjangan, Security Hub menggunakan nilai default 30 hari.

ACMdapat secara otomatis memperbarui sertifikat yang menggunakan DNS validasi. Untuk sertifikat yang menggunakan validasi email, Anda harus menanggapi email validasi domain. ACMtidak secara otomatis memperbarui sertifikat yang Anda impor. Anda harus memperbarui sertifikat yang diimpor secara manual.

Remediasi

ACMmenyediakan perpanjangan terkelola untuk SSL TLS /sertifikat yang dikeluarkan oleh Amazon. Ini berarti ACM memperbarui sertifikat Anda secara otomatis (jika Anda menggunakan DNS validasi), atau mengirimkan pemberitahuan email kepada Anda saat kedaluwarsa sertifikat mendekati. Layanan ini disediakan untuk ACM sertifikat publik dan swasta.

Untuk domain yang divalidasi melalui email

Ketika sertifikat 45 hari dari kedaluwarsa, ACM kirimkan ke pemilik domain email untuk setiap nama domain. Untuk memvalidasi domain dan menyelesaikan pembaruan, Anda harus menanggapi pemberitahuan email.

Untuk informasi selengkapnya, lihat Perpanjangan domain yang divalidasi melalui email di Panduan Pengguna.AWS Certificate Manager

Untuk domain yang divalidasi oleh DNS

ACMsecara otomatis memperbarui sertifikat yang menggunakan DNS validasi. 60 hari sebelum kedaluwarsa, ACM memverifikasi bahwa sertifikat dapat diperpanjang.

Jika tidak dapat memvalidasi nama domain, maka ACM mengirimkan pemberitahuan bahwa validasi manual diperlukan. Ini mengirimkan pemberitahuan ini 45 hari, 30 hari, 7 hari, dan 1 hari sebelum kedaluwarsa.

Untuk informasi selengkapnya, lihat Perpanjangan untuk domain yang divalidasi oleh DNS di Panduan Pengguna.AWS Certificate Manager

[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

Persyaratan terkait: PCI DSS v4.0.1/4.2.1

Kategori: Identifikasi > Persediaan > Layanan inventaris

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::ACM::Certificate

AWS Config aturan: acm-certificate-rsa-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah RSA sertifikat dikelola dengan AWS Certificate Manager menggunakan panjang kunci minimal 2.048 bit. Kontrol gagal jika panjang kunci lebih kecil dari 2.048 bit.

Kekuatan enkripsi berkorelasi langsung dengan ukuran kunci. Kami merekomendasikan panjang kunci setidaknya 2.048 bit untuk melindungi AWS sumber daya Anda karena daya komputasi menjadi lebih murah dan server menjadi lebih maju.

Remediasi

Panjang kunci minimum untuk RSA sertifikat yang dikeluarkan oleh ACM sudah 2.048 bit. Untuk petunjuk tentang menerbitkan RSA sertifikat baruACM, lihat Menerbitkan dan mengelola sertifikat di AWS Certificate Manager Panduan Pengguna.

Meskipun ACM memungkinkan Anda untuk mengimpor sertifikat dengan panjang kunci yang lebih pendek, Anda harus menggunakan kunci minimal 2.048 bit untuk melewati kontrol ini. Anda tidak dapat mengubah panjang kunci setelah mengimpor sertifikat. Sebagai gantinya, Anda harus menghapus sertifikat dengan panjang kunci lebih kecil dari 2.048 bit. Untuk informasi selengkapnya tentang mengimpor sertifikat ke dalamACM, lihat Prasyarat untuk mengimpor sertifikat di Panduan Pengguna.AWS Certificate Manager

[ACM.3] ACM sertifikat harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::ACM::Certificate

AWS Config aturan: tagged-acm-certificate (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan Tidak ada nilai default

Kontrol ini memeriksa apakah sertifikat AWS Certificate Manager (ACM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke ACM sertifikat, lihat Menandai AWS Certificate Manager sertifikat di Panduan AWS Certificate Manager Pengguna.