기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SEC09-BP01 보안 키 및 인증서 관리 구현
전송 계층 보안(TLS) 인증서는 네트워크 통신을 보호하고 인터넷과 프라이빗 네트워크를 통해 웹 사이트, 리소스 및 워크로드의 ID를 설정하는 데 사용됩니다.
원하는 결과: 퍼블릭 키 인프라()에서 인증서를 프로비저닝, 배포, 저장 및 갱신할 수 있는 보안 인증서 관리 시스템입니다PKI. 보안 키 및 인증서 관리 메커니즘은 인증서 개인 키 구성 요소가 공개되는 것을 방지하고 정기적으로 인증서를 자동 갱신합니다. 또한 다른 서비스와 통합하여 워크로드 내부의 머신 리소스에 대한 보안 네트워크 통신 및 ID를 제공합니다. 키 구성 요소는 인적 자격 증명이 절대 접근할 수 없어야 합니다.
일반적인 안티 패턴:
-
인증서 배포 또는 갱신 프로세스 중에 수동 단계를 수행합니다.
-
프라이빗 CA를 설계할 때 인증 기관(CA) 계층 구조에 충분히 주의를 기울이지 않습니다.
-
퍼블릭 리소스에 자체 서명된 인증서를 사용합니다.
이 모범 사례 확립의 이점:
-
자동 배포 및 갱신을 통해 인증서 관리 간소화
-
TLS 인증서를 사용하여 전송 중인 데이터의 암호화를 장려합니다.
-
인증 기관이 취한 인증서 작업의 보안 및 감사 가능성 향상
-
CA 계층 구조의 여러 계층에서 관리 업무 구성
이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음
구현 가이드
최신 워크로드는 와 같은 PKI 프로토콜을 사용하여 암호화된 네트워크 통신을 광범위하게 사용합니다TLS. PKI 인증서 관리는 복잡할 수 있지만 자동화된 인증서 프로비저닝, 배포 및 갱신은 인증서 관리와 관련된 마찰을 줄일 수 있습니다.
AWS 는 범용 PKI 인증서를 관리하기 위한 두 가지 서비스인 AWS Certificate Manager 및 AWS Private Certificate Authority (AWS Private CA)를 제공합니다. ACM 는 고객이 퍼블릭 대면 워크로드와 프라이빗 AWS 워크로드 모두에서 사용할 인증서를 프로비저닝, 관리 및 배포하는 데 사용하는 기본 서비스입니다. ACM 는 를 사용하여 인증서를 발급 AWS Private CA 하고 다른 여러 관리형 서비스와 통합하여 워크로드에 대한 보안 TLS 인증서를 제공합니다. AWS
AWS Private CA 를 사용하면 자체 루트 또는 하위 인증 기관을 설정하고 를 통해 TLS 인증서를 발급할 수 있습니다API. 이러한 종류의 인증서는 TLS 연결의 클라이언트 측에서 신뢰 체인을 제어하고 관리하는 시나리오에서 사용할 수 있습니다. TLS 사용 사례 외에도 를 사용하여 사용자 지정 템플릿 을 사용하여 Kubernetes 포드, Matter 디바이스 제품 증명, 코드 서명 및 기타 사용 사례에 인증서를 발급할 수 AWS Private CA 있습니다. 또한 IAM Roles Anywhere를 사용하여 프라이빗 CA가 서명한 X.509 인증서를 발급한 온프레미스 워크로드에 임시 IAM 보안 인증을 제공할 수 있습니다.
ACM 및 외에도 AWS Private CAAWS IoT Core는 IoT 디바이스에 PKI 대한 인증서 프로비저닝, 관리 및 배포에 대한 특수 지원을 제공합니다. 는 IoT 디바이스를 퍼블릭 키 인프라에 대규모로 온보딩하기 위한 특수 메커니즘을 AWS IoT Core 제공합니다.
프라이빗 CA 계층 구조 설정 시 고려 사항
프라이빗 CA를 설정해야 하는 경우 CA 계층 구조를 미리 적절하게 설계할 수 있도록 특별히 주의를 기울이는 것이 중요합니다. 프라이빗 CA 계층을 생성할 AWS 계정 때 CA 계층의 각 수준을 별도로 배포하는 것이 가장 좋습니다. 이 의도적 단계는 CA 계층 구조의 각 수준에 대한 표면적을 줄여 로그 데이터의 이상을 CloudTrail 더 쉽게 발견하고 계정 중 하나에 대한 무단 액세스가 있는 경우 액세스 또는 영향의 범위를 줄일 수 있습니다. 루트 CA는 별도의 계정에 있어야 하며 하나 이상의 중간 CA 인증서를 발급하는 데만 사용해야 합니다.
그런 다음 루트 CA의 CAs 계정과 별도로 계정에 중간 1개 이상을 생성하여 최종 사용자, 디바이스 또는 기타 워크로드에 대한 인증서를 발급합니다. 마지막으로 루트 CA에서 중간 로 인증서를 발급CAs하면 최종 사용자 또는 디바이스에 인증서가 발급됩니다. 복원력 계획, 리전 간 복제, 조직 CAs 간 공유 등을 포함하여 CA 배포 계획 및 CA 계층 구조 설계에 대한 자세한 내용은 AWS Private CA 배포 계획을 참조하세요.
구현 단계
-
사용 사례에 필요한 관련 AWS 서비스를 결정합니다.
-
많은 사용 사례에서 를 사용하여 기존 AWS 퍼블릭 키 인프라를 활용할 수 있습니다AWS Certificate Manager. ACM 는 웹 서버, 로드 밸런서 또는 공개적으로 신뢰할 수 있는 TLS 인증서에 대한 기타 용도에 대한 인증서를 배포하는 데 사용할 수 있습니다.
-
자체 프라이빗 인증 기관 계층 구조를 설정해야 하거나 내보낼 수 있는 인증서에 액세스해야 하는 경우 AWS Private CA를 고려하세요. ACM 그런 다음 를 사용하여 다양한 유형의 최종 사용자 인증서를 발급하는 데 를 사용할 수 있습니다 AWS Private CA.
-
내장된 사물 인터넷(IoT) 디바이스에 대규모로 인증서를 프로비저닝해야 하는 사용 사례의 경우에는 AWS IoT Core를 고려하세요.
-
-
가능한 경우 자동 인증서 갱신 구현:
-
통합 ACM 관리형 서비스와 함께 에서 발급한 인증서에 대한 관리형 갱신을 사용합니다. ACM AWS
-
-
로깅 및 감사 트레일 설정:
-
CloudTrail 로그를 활성화하여 인증서 기관을 보유한 계정에 대한 액세스를 추적합니다. 로그 데이터의 신뢰성을 확인하기 CloudTrail 위해 에서 로그 파일 무결성 검증을 구성하는 것이 좋습니다.
-
프라이빗 CA가 발급 또는 취소한 인증서를 나열하는 감사 보고서를 정기적으로 생성하고 검토합니다. 이러한 보고서는 S3 버킷으로 내보낼 수 있습니다.
-
프라이빗 CA를 배포할 때는 인증서 해지 목록()을 저장할 S3 버킷도 설정해야 합니다CRL. 워크로드 요구 사항에 따라 이 S3 버킷을 구성하는 방법에 대한 지침은 인증서 취소 목록 계획(CRL)을 참조하세요.
-
리소스
관련 모범 사례:
관련 문서:
관련 비디오:
관련 예제:
-
IOT 디바이스 관리 워크숍
(디바이스 프로비저닝 포함)
관련 도구:
