Kontrol Security Hub untuk AWS KMS - AWS Security Hub
[KMS.1] Kebijakan yang dikelola IAM pelanggan tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS[KMS.2] IAM prinsipal tidak boleh memiliki kebijakan IAM sebaris yang memungkinkan tindakan dekripsi pada semua kunci KMS[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja[KMS.4] rotasi AWS KMS tombol harus diaktifkan[KMS.5] KMS kunci tidak boleh diakses publik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk AWS KMS

AWS Security Hub Kontrol ini mengevaluasi AWS Key Management Service (AWS KMS) layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[KMS.1] Kebijakan yang dikelola IAM pelanggan tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

Persyaratan terkait: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::IAM::Policy

AWS Config aturan: iam-customer-policy-blocked-kms-actions

Jenis jadwal: Perubahan dipicu

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(tidak dapat disesuaikan)

  • excludePermissionBoundaryPolicy: True (tidak dapat disesuaikan)

Memeriksa apakah versi default kebijakan terkelola IAM pelanggan mengizinkan prinsipal untuk menggunakan tindakan AWS KMS dekripsi pada semua sumber daya. Kontrol gagal jika kebijakan cukup terbuka untuk mengizinkan kms:Decrypt atau kms:ReEncryptFrom tindakan pada semua KMS kunci.

Kontrol hanya memeriksa KMS kunci dalam elemen Resource dan tidak memperhitungkan persyaratan apa pun dalam elemen Kondisi kebijakan. Selain itu, kontrol mengevaluasi kebijakan terkelola pelanggan yang terlampir dan tidak terikat. Itu tidak memeriksa kebijakan sebaris atau kebijakan AWS terkelola.

Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan KMS kunci Anda dan mendapatkan akses ke data terenkripsi Anda. IAMkebijakan menentukan tindakan yang dapat dilakukan identitas (pengguna, grup, atau peran) pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS merekomendasikan agar Anda mengizinkan hak istimewa paling sedikit. Dengan kata lain, Anda harus memberikan identitas hanya kms:ReEncryptFrom izin kms:Decrypt atau dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda.

Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian desain kebijakan yang memungkinkan pengguna untuk hanya menggunakan kunci tersebut. Misalnya, jangan izinkan kms:Decrypt izin pada semua KMS kunci. Sebagai gantinya, izinkan kms:Decrypt hanya pada kunci di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.

Remediasi

Untuk mengubah kebijakan yang dikelola IAM pelanggan, lihat Mengedit kebijakan yang dikelola pelanggan di Panduan IAM Pengguna. Saat mengedit kebijakan Anda, untuk Resource bidang tersebut, berikan Amazon Resource Name (ARN) dari kunci atau kunci tertentu yang Anda inginkan untuk mengizinkan tindakan dekripsi.

[KMS.2] IAM prinsipal tidak boleh memiliki kebijakan IAM sebaris yang memungkinkan tindakan dekripsi pada semua kunci KMS

Persyaratan terkait: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Kategori: Lindungi > Manajemen akses yang aman

Tingkat keparahan: Sedang

Jenis sumber daya:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config aturan: iam-inline-policy-blocked-kms-actions

Jenis jadwal: Perubahan dipicu

Parameter:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan inline yang disematkan dalam IAM identitas Anda (peran, pengguna, atau grup) memungkinkan tindakan AWS KMS dekripsi dan enkripsi ulang pada semua kunci. KMS Kontrol gagal jika kebijakan cukup terbuka untuk mengizinkan kms:Decrypt atau kms:ReEncryptFrom tindakan pada semua KMS kunci.

Kontrol hanya memeriksa KMS kunci dalam elemen Resource dan tidak memperhitungkan persyaratan apa pun dalam elemen Kondisi kebijakan.

Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan KMS kunci Anda dan mendapatkan akses ke data terenkripsi Anda. IAMkebijakan menentukan tindakan yang dapat dilakukan identitas (pengguna, grup, atau peran) pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS merekomendasikan agar Anda mengizinkan hak istimewa paling sedikit. Dengan kata lain, Anda harus memberikan identitas hanya izin yang mereka butuhkan dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda.

Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian desain kebijakan yang memungkinkan pengguna untuk hanya menggunakan kunci tersebut. Misalnya, jangan izinkan kms:Decrypt izin pada semua KMS kunci. Sebagai gantinya, izinkan izin hanya pada kunci tertentu di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.

Remediasi

Untuk mengubah kebijakan IAM sebaris, lihat Mengedit kebijakan sebaris di IAMPanduan Pengguna. Saat mengedit kebijakan Anda, untuk Resource bidang tersebut, berikan Amazon Resource Name (ARN) dari kunci atau kunci tertentu yang Anda inginkan untuk mengizinkan tindakan dekripsi.

[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja

Persyaratan terkait: NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::KMS::Key

AWS Config aturan: kms-cmk-not-scheduled-for-deletion-2 (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah KMS kunci dijadwalkan untuk dihapus. Kontrol gagal jika KMS kunci dijadwalkan untuk dihapus.

KMSkunci tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi di bawah KMS kunci juga tidak dapat dipulihkan secara permanen jika kunci dihapus. KMS Jika data bermakna telah dienkripsi di bawah KMS kunci yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data atau mengenkripsi ulang data di bawah KMS kunci baru kecuali Anda sengaja melakukan penghapusan kriptografi.

Ketika KMS kunci dijadwalkan untuk dihapus, periode tunggu wajib diberlakukan untuk memberikan waktu untuk membalikkan penghapusan, jika dijadwalkan dalam kesalahan. Masa tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi sesingkat 7 hari ketika KMS kunci dijadwalkan untuk dihapus. Selama masa tunggu, penghapusan yang dijadwalkan dapat dibatalkan dan KMS kunci tidak akan dihapus.

Untuk informasi tambahan mengenai menghapus KMS kunci, lihat Menghapus KMS kunci di Panduan AWS Key Management Service Pengembang.

Remediasi

Untuk membatalkan penghapusan KMS kunci terjadwal, lihat Untuk membatalkan penghapusan kunci di bawah Penjadwalan dan pembatalan penghapusan kunci (konsol) di Panduan Pengembang.AWS Key Management Service

[KMS.4] rotasi AWS KMS tombol harus diaktifkan

Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/3.6, Tolok Ukur Yayasan v1.4.0/3.8, Tolok Ukur CIS AWS Yayasan v1.2.0/2.8, 2, 2 (2), CIS AWS 8 (3), v3.2.1/3.6.4, v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 PCI DSS PCI DSS

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::KMS::Key

AWS Config aturan: cmk-backing-key-rotation-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

AWS KMS memungkinkan pelanggan untuk memutar kunci dukungan, yang merupakan bahan kunci yang disimpan AWS KMS dan diikat ke ID kunci KMS kunci. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci pendukung sebelumnya sehingga dekripsi data terenkripsi dapat berlangsung secara transparan.

CISmerekomendasikan agar Anda mengaktifkan rotasi KMS kunci. Memutar kunci enkripsi membantu mengurangi dampak potensial dari kunci yang dikompromikan karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos.

Remediasi

Untuk mengaktifkan rotasi KMS kunci, lihat Cara mengaktifkan dan menonaktifkan rotasi tombol otomatis di Panduan AWS Key Management Service Pengembang.

[KMS.5] KMS kunci tidak boleh diakses publik

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::KMS::Key

AWS Config aturan: kms-key-policy-no-public-access

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS KMS kunci dapat diakses publik. Kontrol gagal jika KMS kuncinya dapat diakses publik.

Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan KMS kunci memungkinkan akses dari akun eksternal, ini berarti pihak ketiga akan dapat mengenkripsi dan mendekripsi data menggunakan kunci di akun Anda Akun AWS dan itu dapat mengakibatkan eksfiltrasi data dari semua layanan menggunakan kunci oleh ancaman orang dalam atau penyerang.

Remediasi

Untuk memperbarui kebijakan KMS utama, lihat Kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.