SEC09-BP01 Menerapkan manajemen kunci dan sertifikat yang aman

Sertifikat Transport Layer Security (TLS) digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web, sumber daya, dan beban kerja melalui internet, serta jaringan pribadi.

Hasil yang diinginkan: Sistem manajemen sertifikat aman yang dapat menyediakan, menyebarkan, menyimpan, dan memperbarui sertifikat dalam infrastruktur kunci publik ()PKI. Mekanisme manajemen kunci dan sertifikat yang aman akan mencegah pengungkapan materi kunci privat sertifikat dan secara otomatis memperpanjang sertifikat secara berkala. Mekanisme ini juga terintegrasi dengan layanan-layanan lain untuk menyediakan komunikasi jaringan yang aman dan identitas untuk sumber daya mesin di dalam beban kerja Anda. Materi kunci tidak boleh diakses oleh identitas manusia.

Anti-pola umum:

Melakukan langkah-langkah manual selama proses deployment atau perpanjangan sertifikat.
Kurang memperhatikan hierarki otoritas sertifikat (CA) saat merancang CA privat.
Menggunakan sertifikat yang ditandatangani sendiri untuk sumber daya publik.

Manfaat menjalankan praktik terbaik ini:

Sederhanakan manajemen sertifikat melalui deployment dan perpanjangan otomatis
Mendorong enkripsi data dalam perjalanan menggunakan TLS sertifikat
Peningkatan keamanan dan keterauditan tindakan-tindakan sertifikat yang dilakukan oleh otoritas sertifikat
Manajemen tugas-tugas manajemen di berbagai lapisan hierarki CA

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Beban kerja modern memanfaatkan komunikasi jaringan terenkripsi secara ekstensif menggunakan PKI protokol seperti. TLS PKImanajemen sertifikat bisa rumit, tetapi penyediaan sertifikat otomatis, penyebaran, dan pembaruan dapat mengurangi gesekan yang terkait dengan manajemen sertifikat.

AWS menyediakan dua layanan untuk mengelola PKI sertifikat tujuan umum: AWS Certificate Managerdan AWS Private Certificate Authority ()AWS Private CA. ACMadalah layanan utama yang digunakan pelanggan untuk menyediakan, mengelola, dan menyebarkan sertifikat untuk digunakan baik dalam beban kerja publik maupun pribadi. AWS ACMmenerbitkan sertifikat yang menggunakan AWS Private CA dan terintegrasi dengan banyak layanan AWS terkelola lainnya untuk memberikan TLS sertifikat aman untuk beban kerja.

AWS Private CA memungkinkan Anda untuk membuat otoritas sertifikat root atau bawahan Anda sendiri dan mengeluarkan TLS sertifikat melalui fileAPI. Anda dapat menggunakan sertifikat semacam ini dalam skenario di mana Anda mengontrol dan mengelola rantai kepercayaan di sisi klien TLS koneksi. Selain kasus TLS penggunaan, AWS Private CA dapat digunakan untuk menerbitkan sertifikat ke pod Kubernetes, pengesahan produk perangkat Matter, penandatanganan kode, dan kasus penggunaan lainnya dengan templat khusus. Anda juga dapat menggunakan IAMPeran Di Mana Saja untuk memberikan IAM kredensil sementara ke beban kerja lokal yang telah diterbitkan sertifikat X.509 yang ditandatangani oleh CA Pribadi Anda.

Selain ACM dan AWS Private CA, AWS IoT Coremenyediakan dukungan khusus untuk penyediaan, pengelolaan, dan penyebaran sertifikat PKI ke perangkat IoT. AWS IoT Core menyediakan mekanisme khusus untuk orientasi perangkat IoT ke infrastruktur kunci publik Anda dalam skala besar.

Pertimbangan untuk membangun hierarki CA privat

Ketika Anda perlu membuat CA privat, penting untuk berhati-hati dalam merancang hierarki CA dengan benar di awal. Ini adalah praktik terbaik untuk menerapkan setiap tingkat hierarki CA Anda menjadi terpisah Akun AWS saat membuat hierarki CA pribadi. Langkah yang disengaja ini mengurangi luas permukaan untuk setiap level dalam hierarki CA, membuatnya lebih mudah untuk menemukan anomali dalam data CloudTrail log dan mengurangi ruang lingkup akses atau dampak jika ada akses tidak sah ke salah satu akun. CA root harus berada di akun terpisahnya sendiri dan hanya boleh digunakan untuk menerbitkan satu atau beberapa sertifikat CA perantara.

Kemudian, buat satu atau beberapa akun CAs perantara yang terpisah dari akun root CA untuk mengeluarkan sertifikat bagi pengguna akhir, perangkat, atau beban kerja lainnya. Terakhir, terbitkan sertifikat dari CA root Anda ke perantaraCAs, yang pada gilirannya akan mengeluarkan sertifikat ke pengguna akhir atau perangkat Anda. Untuk informasi selengkapnya tentang perencanaan penerapan CA dan perancangan hierarki CA, termasuk perencanaan ketahanan, replikasi lintas wilayah, berbagi CAs di seluruh organisasi, dan lainnya, lihat Merencanakan penerapan. AWS Private CA

Langkah-langkah implementasi

Tentukan AWS layanan relevan yang diperlukan untuk kasus penggunaan Anda:
- Banyak kasus penggunaan dapat memanfaatkan infrastruktur kunci AWS publik yang ada menggunakan AWS Certificate Manager. ACMdapat digunakan untuk menyebarkan TLS sertifikat untuk server web, penyeimbang beban, atau penggunaan lain untuk sertifikat yang dipercaya publik.
- Pertimbangkan AWS Private CA ketika Anda perlu membuat hierarki otoritas sertifikat privat Anda sendiri atau memerlukan akses ke sertifikat yang dapat diekspor. ACMkemudian dapat digunakan untuk mengeluarkan banyak jenis sertifikat entitas akhir menggunakan. AWS Private CA
- Untuk kasus penggunaan di mana sertifikat harus disediakan dalam skala besar untuk perangkat Internet untuk Segala (IoT) yang disematkan, pertimbangkan AWS IoT Core.
Implementasikan perpanjangan sertifikat otomatis jika memungkinkan:
- Gunakan perpanjangan ACM terkelola untuk sertifikat yang dikeluarkan ACM bersama dengan layanan AWS terkelola terintegrasi.
Bangun jejak pencatatan log dan jejak audit:
- Aktifkan CloudTraillog untuk melacak akses ke akun yang memegang otoritas sertifikat. Pertimbangkan untuk mengonfigurasi validasi integritas file log CloudTrail untuk memverifikasi keaslian data log.
- Buat dan tinjau secara berkala laporan audit yang mencantumkan sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Laporan-laporan ini dapat diekspor ke bucket S3.
- Saat menerapkan CA pribadi, Anda juga perlu membuat bucket S3 untuk menyimpan Daftar Pencabutan Sertifikat (). CRL Untuk panduan cara mengonfigurasi bucket S3 ini berdasarkan persyaratan beban kerja Anda, lihat Merencanakan daftar pencabutan sertifikat (). CRL

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait:

Mengaktifkan CA Privat AWS Certificate Manager (lokakarya)

Contoh terkait:

Lokakarya CA privat
IOTLokakarya Manajemen Perangkat (termasuk penyediaan perangkat)

Alat terkait:

Plugin ke Kubernetes cert-manager untuk digunakan AWS Private CA

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC9. Bagaimana cara melindungi data bergerak Anda?

SEC09-BP02 Menerapkan enkripsi dalam perjalanan