Controlli del Security Hub per Secrets Manager - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Secrets Manager

Questi AWS Security Hub i controlli valutano il AWS Secrets Manager servizio e risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.

[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Categoria: Protezione > Sviluppo protetto

Gravità: media

Tipo di risorsa: AWS::SecretsManager::Secret

AWS Config regola: secretsmanager-rotation-enabled-check

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub

maximumAllowedRotationFrequency

Numero massimo di giorni consentito per la frequenza di rotazione segreta

Numero intero

1 Da a 365

Nessun valore predefinito

Questo controllo verifica se un segreto è memorizzato in AWS Secrets Manager è configurato con rotazione automatica. Il controllo fallisce se il segreto non è configurato con la rotazione automatica. Se si fornisce un valore personalizzato per il maximumAllowedRotationFrequency parametro, il controllo passa solo se il segreto viene ruotato automaticamente all'interno della finestra temporale specificata.

Secrets Manager ti aiuta a migliorare il livello di sicurezza della tua organizzazione. I segreti includono credenziali del database, password e chiavi di terze parti. API È possibile utilizzare Secrets Manager per archiviare i segreti centralmente, crittografarli automaticamente, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico.

Secrets Manager può ruotare i segreti. È possibile utilizzare la rotazione per sostituire i segreti a lungo termine con segreti a breve termine. La rotazione dei segreti limita il tempo per cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, dovresti ruotare frequentemente i tuoi segreti. Per maggiori informazioni sulla rotazione, consulta Rotazione del AWS Secrets Manager segreti nel AWS Secrets Manager Guida per l'utente.

Correzione

Per attivare la rotazione automatica per i segreti di Secrets Manager, vedi Configurare la rotazione automatica per AWS Secrets Manager segreti che utilizzano la console in AWS Secrets Manager Guida per l'utente. È necessario scegliere e configurare un AWS Lambda funzione di rotazione.

[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Categoria: Protezione > Sviluppo protetto

Gravità: media

Tipo di risorsa: AWS::SecretsManager::Secret

AWS Config regola: secretsmanager-scheduled-rotation-success-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AWS Secrets Manager il segreto è stato ruotato con successo in base al programma di rotazione. Il controllo fallisce se lo RotationOccurringAsScheduled èfalse. Il controllo valuta solo i segreti con rotazione attivata.

Secrets Manager ti aiuta a migliorare il livello di sicurezza della tua organizzazione. I segreti includono credenziali del database, password e chiavi di terze parti. API È possibile utilizzare Secrets Manager per archiviare i segreti centralmente, crittografarli automaticamente, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico.

Secrets Manager può ruotare i segreti. È possibile utilizzare la rotazione per sostituire i segreti a lungo termine con segreti a breve termine. La rotazione dei segreti limita il tempo per cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, dovresti ruotare frequentemente i tuoi segreti.

Oltre a configurare i segreti in modo che ruotino automaticamente, è necessario assicurarsi che tali segreti ruotino correttamente in base alla pianificazione di rotazione.

Per ulteriori informazioni sulla rotazione, consulta Rotazione del AWS Secrets Manager segreti nel AWS Secrets Manager Guida per l'utente.

Correzione

Se la rotazione automatica fallisce, Secrets Manager potrebbe aver riscontrato degli errori nella configurazione. Per ruotare i segreti in Secrets Manager, si utilizza una funzione Lambda che definisce come interagire con il database o il servizio proprietario del segreto.

Per assistenza nella diagnosi e nella correzione degli errori comuni relativi alla rotazione dei segreti, consulta Risoluzione dei problemi AWS Secrets Manager rotazione dei segreti in AWS Secrets Manager Guida per l'utente.

[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::SecretsManager::Secret

AWS Config regola: secretsmanager-secret-unused

Tipo di pianificazione: periodica

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub

unusedForDays

Numero massimo di giorni in cui un segreto può rimanere inutilizzato

Numero intero

1 Da a 365

90

Questo controllo verifica se un AWS Secrets Manager è stato effettuato l'accesso al segreto entro il periodo di tempo specificato. Il controllo fallisce se un segreto non viene utilizzato oltre l'intervallo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di accesso, Security Hub utilizza un valore predefinito di 90 giorni.

L'eliminazione dei segreti inutilizzati è importante tanto quanto la rotazione dei segreti. I segreti non utilizzati possono essere sfruttati in modo improprio dai precedenti utenti, che non hanno più bisogno di accedere a questi segreti. Inoltre, man mano che sempre più utenti accedono a un segreto, qualcuno potrebbe averlo gestito male e divulgato a un'entità non autorizzata, il che aumenta il rischio di abuso. L'eliminazione di segreti inutilizzati aiuta a revocare l'accesso segreto agli utenti che non ne hanno più bisogno. Inoltre aiuta a ridurre i costi di utilizzo di Secrets Manager. Pertanto, è essenziale eliminare regolarmente i segreti non utilizzati.

Correzione

Per eliminare i segreti inattivi di Secrets Manager, consulta Eliminare un AWS Secrets Manager segreto nel AWS Secrets Manager Guida per l'utente.

[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::SecretsManager::Secret

AWS Config regola: secretsmanager-secret-periodic-rotation

Tipo di pianificazione: periodica

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub

maxDaysSinceRotation

Numero massimo di giorni in cui un segreto può rimanere invariato

Numero intero

1 Da a 180

90

Questo controllo verifica se un AWS Secrets Manager secret viene ruotato almeno una volta nell'intervallo di tempo specificato. Il controllo fallisce se un segreto non viene ruotato almeno così frequentemente. A meno che non si fornisca un valore di parametro personalizzato per il periodo di rotazione, Security Hub utilizza un valore predefinito di 90 giorni.

La rotazione dei segreti può aiutarvi a ridurre il rischio di un uso non autorizzato dei vostri segreti all'interno di Account AWS. Gli esempi includono credenziali di database, password, API chiavi di terze parti e persino testo arbitrario. Se non si modificano i segreti per un lungo periodo di tempo, è più probabile che i segreti vengano compromessi.

Man mano che sempre più utenti accedono a un segreto, è più probabile che qualcuno lo abbia gestito male e lo abbia divulgato a un'entità non autorizzata. I segreti possono essere fatti trapelare attraverso i log e i dati della cache. Possono essere condivisi per scopi di debug e non modificati o revocati una volta completato il debug. Per tutti questi motivi, i segreti dovrebbero essere ruotati frequentemente.

È possibile configurare la rotazione automatica dei segreti in AWS Secrets Manager. Con la rotazione automatica, puoi sostituire i segreti a lungo termine con quelli a breve termine, riducendo significativamente il rischio di compromessi. Ti consigliamo di configurare la rotazione automatica per i tuoi segreti di Secrets Manager. Per ulteriori informazioni, consulta Rotazione del AWS Secrets Manager segreti nel AWS Secrets Manager Guida per l'utente.

Correzione

Per attivare la rotazione automatica per i segreti di Secrets Manager, vedi Configurare la rotazione automatica per AWS Secrets Manager segreti che utilizzano la console in AWS Secrets Manager Guida per l'utente. È necessario scegliere e configurare un AWS Lambda funzione di rotazione.

[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::SecretsManager::Secret

AWS Config regola: tagged-secretsmanager-secret (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco dei tag che soddisfano AWS requisiti No default value

Questo controllo verifica se AWS Secrets Manager secret ha dei tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il segreto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il segreto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.

Correzione

Per aggiungere tag a un segreto di Secrets Manager, vedi Tag AWS Secrets Manager segreti in AWS Secrets Manager Guida per l'utente.