SEC09-BP01 Implementare la gestione sicura di chiavi e certificati

I certificati Transport Layer Security (TLS) vengono utilizzati per proteggere le comunicazioni di rete e stabilire l'identità di siti Web, risorse e carichi di lavoro su Internet, nonché su reti private.

Risultato desiderato: un sistema di gestione dei certificati sicuro in grado di fornire, distribuire, archiviare e rinnovare i certificati in un'infrastruttura a chiave pubblica (). PKI Un meccanismo sicuro di gestione delle chiavi e dei certificati impedisce la divulgazione del materiale relativo alle chiavi private dei certificati e rinnova in automatico il certificato su base periodica. Si integra inoltre con altri servizi per fornire comunicazioni di rete e identità sicure per le risorse delle macchine all'interno del carico di lavoro. Il materiale relativo alla chiave non dovrebbe mai essere accessibile alle identità umane.

Anti-pattern comuni:

Esecuzione di passaggi manuali durante i processi di distribuzione, implementazione o rinnovo dei certificati.
Attenzione insufficiente alla gerarchia delle autorità di certificazione (CA) durante la progettazione di una CA privata.
Utilizzo di certificati autofirmati per risorse pubbliche.

Vantaggi dell'adozione di questa best practice:

Semplificazione della gestione dei certificati attraverso la distribuzione, l'implementazione e il rinnovo automatizzati
Incoraggia la crittografia dei dati in transito utilizzando i certificati TLS
Maggiore sicurezza e verificabilità delle operazioni di certificazione intraprese dall'autorità di certificazione
Organizzazione delle mansioni di gestione ai diversi livelli della gerarchia della CA

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

I carichi di lavoro moderni fanno ampio uso di comunicazioni di rete crittografate utilizzando PKI protocolli comeTLS. PKILa gestione dei certificati può essere complessa, ma la fornitura, l'implementazione e il rinnovo automatizzati dei certificati possono ridurre le difficoltà associate alla gestione dei certificati.

AWS fornisce due servizi per gestire i PKI certificati generici: and (). AWS Certificate ManagerAWS Private Certificate AuthorityAWS Private CA ACMè il servizio principale utilizzato dai clienti per fornire, gestire e distribuire certificati da utilizzare sia in carichi di lavoro pubblici che privati. AWS ACMemette certificati utilizzando AWS Private CA e si integra con molti altri servizi AWS gestiti per fornire certificati sicuri per i carichi di lavoro. TLS

AWS Private CA consente di stabilire la propria autorità di certificazione principale o subordinata e di emettere TLS certificati tramite un. API È possibile utilizzare questo tipo di certificati in scenari in cui è possibile controllare e gestire la catena di fiducia sul lato client della TLS connessione. Oltre ai casi TLS d'uso, AWS Private CA possono essere utilizzati per emettere certificati su pod Kubernetes, attestazioni di prodotto dei dispositivi Matter, firmare codici e altri casi d'uso con un modello personalizzato. Puoi anche utilizzare IAMRoles Anywhere per fornire IAM credenziali temporanee ai carichi di lavoro locali a cui sono stati emessi certificati X.509 firmati dalla tua CA privata.

Oltre a ACM e AWS Private CA, AWS IoT Corefornisce supporto specializzato per il provisioning, la gestione e l'implementazione di PKI certificati su dispositivi IoT. AWS IoT Core fornisce meccanismi specializzati per l'onboarding dei dispositivi IoT nella tua infrastruttura a chiave pubblica su larga scala.

Considerazioni sulla creazione di una gerarchia CA privata

Quando occorre stabilire una CA privata, è importante prestare particolare attenzione a progettare in modo corretto la gerarchia della CA fin dall'inizio. È consigliabile distribuire ogni livello della gerarchia CA in modo separato Account AWS quando si crea una gerarchia CA privata. Questo passaggio intenzionale riduce la superficie di ogni livello della gerarchia delle CA, semplificando l'individuazione delle anomalie nei dati di CloudTrail registro e riducendo l'ambito di accesso o l'impatto in caso di accesso non autorizzato a uno degli account. La CA principale deve risiedere in un account separato e va utilizzata solo per l'emissione di uno o più certificati CA intermedi.

Quindi, crea uno o più account CAs intermedi separati dall'account della CA principale per emettere certificati per utenti finali, dispositivi o altri carichi di lavoro. Infine, emetti certificati dalla tua CA principale a quella intermediaCAs, che a sua volta emetterà certificati agli utenti finali o ai dispositivi. Per ulteriori informazioni sulla pianificazione dell'implementazione della CA e sulla progettazione della gerarchia delle CA, inclusa la pianificazione della resilienza, la replica tra le regioni, la condivisione all'CAsinterno dell'organizzazione e altro ancora, consulta Pianificazione della distribuzione. AWS Private CA

Passaggi dell'implementazione

Determina i AWS servizi pertinenti richiesti per il tuo caso d'uso:
- Molti casi d'uso possono sfruttare l'infrastruttura a chiave AWS pubblica esistente utilizzando AWS Certificate Manager. ACMpuò essere utilizzato per distribuire TLS certificati per server Web, sistemi di bilanciamento del carico o altri usi per certificati pubblicamente affidabili.
- Prendi in considerazione AWS Private CA se occorre stabilire una gerarchia di autorità di certificazione privata o accedere a certificati esportabili. ACMpuò quindi essere utilizzato per emettere molti tipi di certificati di entità finale utilizzando. AWS Private CA
- Per i casi d'uso in cui i certificati devono essere forniti su larga scala per dispositivi Internet delle cose (IoT) integrati, prendi in considerazione l'uso di AWS IoT Core.
Implementa il rinnovo automatico dei certificati quando possibile:
- Utilizza il rinnovo ACM gestito per i certificati emessi da ACM insieme ai servizi AWS gestiti integrati.
Stabilisci la creazione di log e audit trail:
- Abilita CloudTraili registri per tenere traccia degli accessi agli account che detengono le autorità di certificazione. Valuta la possibilità di configurare la convalida dell'integrità dei file di registro CloudTrail per verificare l'autenticità dei dati di registro.
- Crea e rivedi a cadenza periodica report di audit che elencano i certificati emessi o revocati dalla tua CA privata. Questi report possono essere esportati in un bucket S3.
- Quando si implementa una CA privata, è inoltre necessario creare un bucket S3 per archiviare l'elenco di revoca dei certificati (). CRL Per indicazioni sulla configurazione di questo bucket S3 in base ai requisiti del carico di lavoro, consulta Pianificazione di un elenco di revoca dei certificati (). CRL

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Activating AWS Certificate Manager Private CA (workshop)

Esempi correlati:

Private CA workshop
IOTWorkshop sulla gestione dei dispositivi (inclusa la fornitura dei dispositivi)

Strumenti correlati:

Plugin per Kubernetes cert-manager da usare AWS Private CA

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC9. In che modo proteggi i dati in transito?

SEC09-BP02 Applica la crittografia in transito