CA privata AWS migliori pratiche - AWS Private Certificate Authority
Documentazione della struttura e delle politiche di CASe possibile, riduci al minimo l'uso della CA principale Assegna alla CA principale la sua Account AWSRuoli di amministratore ed emittente separatiImplementa la revoca gestita dei certificatiAttiva AWS CloudTrailRuota la chiave privata CAElimina i dati inutilizzati CAsBlocca l'accesso pubblico al tuo CRLsBest practice per le EKS applicazioni Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CA privata AWS migliori pratiche

Le migliori pratiche sono raccomandazioni che possono aiutarti a utilizzare CA privata AWS in modo efficace. Le seguenti best practice si basano sull'esperienza reale degli attuali AWS Certificate Manager e CA privata AWS dei clienti.

Documentazione della struttura e delle politiche di CA

AWS consiglia di documentare tutte le politiche e le pratiche per il funzionamento della CA. Ciò potrebbe includere:

  • Ragionamento per le tue decisioni sulla struttura CA

  • Un diagramma che mostra le tue CAs e le loro relazioni

  • Policy sui periodi di validità di una CA

  • Pianificazione della successione CA

  • Criteri sulla lunghezza del percorso

  • Catalogo delle autorizzazioni

  • Descrizione delle strutture di controllo amministrativo

  • Sicurezza

È possibile acquisire queste informazioni in due documenti, noti come Certification Policy (CP) e Certification Practices Statement (CPS). Fate riferimento a RFC3647 per un framework per l'acquisizione di informazioni importanti sulle operazioni della CA.

Se possibile, riduci al minimo l'uso della CA principale

In generale, una CA root dovrebbe essere utilizzata solo per emettere certificati CAs intermedi. In questo modo la CA principale può essere conservata al riparo dai pericoli, mentre quella intermedia CAs esegue l'attività quotidiana di emissione di certificati per entità finali.

Tuttavia, se la prassi corrente dell'organizzazione prevede l'emissione di certificati di entità finale direttamente da una CA principale, è CA privata AWS possibile supportare questo flusso di lavoro migliorando al contempo la sicurezza e i controlli operativi. L'emissione di certificati di entità finale in questo scenario richiede una politica di IAM autorizzazioni che consenta alla CA principale di utilizzare un modello di certificato di entità finale. Per informazioni sulle politiche, vedere. IAM Identity and Access Management (IAM) per AWS Private Certificate Authority

Nota

Questa configurazione impone limitazioni che potrebbero comportare problemi operativi. Ad esempio, se la CA principale viene compromessa o persa, è necessario creare una nuova CA root e distribuirla a tutti i client dell'ambiente. Fino al completamento del processo di ripristino, non sarà possibile emettere nuovi certificati. L'emissione di certificati direttamente da una CA root impedisce inoltre di limitare l'accesso e limitare il numero di certificati emessi dalla root, che sono entrambe considerate procedure consigliate per la gestione di una CA root.

Assegna alla CA principale la sua Account AWS

Si consiglia di creare una CA principale e una CA subordinata in due AWS account diversi. In questo modo è possibile fornire protezione aggiuntiva e controlli di accesso per la CA root. È possibile farlo esportando la CSR CA subordinata in un account e firmandola con una CA principale in un account diverso. Il vantaggio di questo approccio è che puoi controllare separatamente il tuo account CAs per account. Lo svantaggio è che non è possibile utilizzare la AWS Management Console procedura guidata per semplificare il processo di firma del certificato CA di una CA subordinata dalla CA principale.

Importante

Si consiglia vivamente di utilizzare l'autenticazione a più fattori (MFA) ogni volta che si accede. CA privata AWS

Ruoli di amministratore ed emittente separati

Il ruolo di amministratore della CA deve essere separato dagli utenti che devono solo emettere certificati di entità finale. Se l'amministratore della CA e l'emittente del certificato risiedono nella stessa sede Account AWS, è possibile limitare le autorizzazioni dell'emittente creando un IAM utente specifico a tale scopo.

Implementa la revoca gestita dei certificati

La revoca gestita invia automaticamente una notifica ai client dei certificati quando un certificato viene revocato. Potrebbe essere necessario revocare un certificato se le relative informazioni crittografiche sono state compromesse o se è stato emesso per errore. I client in genere rifiutano di accettare certificati revocati. CA privata AWS offre due opzioni standard per la revoca gestita: Online Certificate Status Protocol (OCSP) e gli elenchi di revoca dei certificati (). CRLs Per ulteriori informazioni, consulta AWS Private CA Pianifica il tuo metodo di revoca dei certificati.

Attiva AWS CloudTrail

Attiva CloudTrail la registrazione prima di creare e iniziare a utilizzare una CA privata. Con CloudTrail, puoi recuperare una cronologia delle AWS API chiamate per il tuo account per monitorare le tue implementazioni. AWS Questa cronologia include API le chiamate effettuate da AWS Management Console, the AWS SDKs AWS Command Line Interface, the e servizi di livello superiore. AWS È inoltre possibile identificare gli utenti e gli account che hanno effettuato le PCA API operazioni, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono state effettuate le chiamate. È possibile integrarlo CloudTrail nelle applicazioni utilizzandoAPI, automatizzare la creazione di percorsi per l'organizzazione, controllare lo stato dei percorsi e controllare il modo in cui gli amministratori attivano e CloudTrail disattivano l'accesso. Per ulteriori informazioni, consultare l'articolo relativo alla Creazione di un trail. Vai a Registrazione delle AWS Private Certificate Authority API chiamate tramite AWS CloudTrail vedere esempi di percorsi operativi. CA privata AWS

Ruota la chiave privata CA

È una best practice aggiornare periodicamente la chiave privata della CA privata. Puoi aggiornare una chiave importando un nuovo certificato emesso da una CA oppure sostituire la CA privata con una nuova CA.

Nota

Se sostituisci la CA stessa, tieni presente che ARN la CA cambia. Ciò causerebbe il fallimento dell'automazione che si basa su un codice rigidoARN.

Elimina i dati inutilizzati CAs

È possibile eliminare definitivamente una CA privata. Questa operazione può essere eseguita se la CA non è più necessaria o se si desidera sostituirla con una CA che dispone di una chiave privata più recente. Per eliminare correttamente una CA, si consiglia di seguire il processo descritto in Eliminazione di una CA privata.

Nota

AWS ti fattura una CA fino a quando non viene eliminata.

Blocca l'accesso pubblico al tuo CRLs

CA privata AWS consiglia di utilizzare la funzionalità Amazon S3 Block Public Access (BPA) su bucket che contengono. CRLs In questo modo si evita di esporre inutilmente i dati personali a potenziali avversari. PKI BPAè una best practice di S3 ed è abilitata di default sui nuovi bucket. In alcuni casi è necessaria una configurazione aggiuntiva. Per ulteriori informazioni, consulta Abilita S3 Block Public Access (BPA) con CloudFront.

Best practice per le EKS applicazioni Amazon

Se lo utilizzi CA privata AWS per fornire EKS ad Amazon certificati X.509, segui i consigli per proteggere gli ambienti multi-tenant nelle Amazon Best Practices Guides. EKS Per informazioni generali sull'integrazione CA privata AWS con Kubernetes, consulta. Proteggi Kubernetes con CA privata AWS