As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para AWS KMS

Esses AWS Security Hub controles avaliam o AWS Key Management Service (AWS KMS) serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::Policy

Regra do AWS Config : iam-customer-policy-blocked-kms-actions

Tipo de programação: acionado por alterações

Parâmetros:

Verifica se a versão padrão das políticas gerenciadas pelo IAM cliente permite que os diretores usem as ações de AWS KMS descriptografia em todos os recursos. O controle falhará se a política estiver aberta o suficiente para permitir kms:Decrypt kms:ReEncryptFrom ações em todas as KMS chaves.

O controle verifica apenas KMS as chaves no elemento Recurso e não leva em consideração nenhuma condição no elemento Condição de uma política. Além disso, o controle avalia as políticas gerenciadas pelo cliente vinculadas e não vinculadas. Ele não verifica políticas em linha ou políticas AWS gerenciadas.

Com AWS KMS, você controla quem pode usar suas KMS chaves e obter acesso aos seus dados criptografados. IAMas políticas definem quais ações uma identidade (usuário, grupo ou função) pode realizar em quais recursos. Seguindo as melhores práticas de segurança, AWS recomenda que você permita o menor privilégio. Em outras palavras, você deve conceder apenas as permissões kms:Decrypt ou kms:ReEncryptFrom necessárias e apenas para a chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não sejam apropriadas para seus dados.

Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam que os usuários usem somente essas chaves. Por exemplo, não permita kms:Decrypt permissão em todas as KMS chaves. Em vez disso, permita kms:Decrypt somente com chaves em uma região específica para sua conta. Ao adotar o princípio do privilégio mínimo, você pode reduzir o risco de divulgação não intencional de seus dados.

Correção

Para modificar uma política gerenciada pelo IAM cliente, consulte Edição de políticas gerenciadas pelo cliente no Guia IAM do usuário. Ao editar sua política, forneça para o Resource campo o Amazon Resource Name (ARN) da chave ou chaves específicas nas quais você deseja permitir ações de descriptografia.

[KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso:

Regra do AWS Config : iam-inline-policy-blocked-kms-actions

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se as políticas em linha incorporadas às suas IAM identidades (função, usuário ou grupo) permitem as ações de descriptografia e AWS KMS recriptografia em todas as chaves. KMS O controle falhará se a política estiver aberta o suficiente para permitir kms:Decrypt kms:ReEncryptFrom ações em todas as KMS chaves.

O controle verifica apenas KMS as chaves no elemento Recurso e não leva em consideração nenhuma condição no elemento Condição de uma política.

Com AWS KMS, você controla quem pode usar suas KMS chaves e obter acesso aos seus dados criptografados. IAMas políticas definem quais ações uma identidade (usuário, grupo ou função) pode realizar em quais recursos. Seguindo as melhores práticas de segurança, AWS recomenda que você permita o menor privilégio. Em outras palavras, você deve conceder às identidades somente as permissões necessárias e somente as chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não sejam apropriadas para seus dados.

Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam que os usuários usem somente essas chaves. Por exemplo, não permita kms:Decrypt permissão em todas as KMS chaves. Em vez disso, permita a permissão somente em chaves específicas em uma região específica da sua conta. Ao adotar o princípio do privilégio mínimo, você pode reduzir o risco de divulgação não intencional de seus dados.

Correção

Para modificar uma política IAM em linha, consulte Edição de políticas em linha no Guia do IAMusuário. Ao editar sua política, forneça para o Resource campo o Amazon Resource Name (ARN) da chave ou chaves específicas nas quais você deseja permitir ações de descriptografia.

[KMS.3] não AWS KMS keys deve ser excluído acidentalmente

Requisitos relacionados: NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Severidade: crítica

Tipo de recurso: AWS::KMS::Key

Regra AWS Config : kms-cmk-not-scheduled-for-deletion-2 (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se KMS as chaves estão programadas para exclusão. O controle falhará se uma KMS chave estiver programada para exclusão.

KMSas chaves não podem ser recuperadas depois de excluídas. Os dados criptografados sob uma KMS chave também são permanentemente irrecuperáveis se a KMS chave for excluída. Se dados significativos tiverem sido criptografados com uma KMS chave programada para exclusão, considere descriptografar os dados ou recriptografá-los com uma nova KMS chave, a menos que você esteja executando intencionalmente uma eliminação criptográfica.

Quando uma KMS chave é programada para exclusão, um período de espera obrigatório é imposto para permitir que a exclusão seja revertida, caso ela tenha sido agendada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para até 7 dias quando a KMS chave está programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada e a KMS chave não será excluída.

Para obter informações adicionais sobre a exclusão de KMS chaves, consulte Excluindo KMS chaves no Guia do AWS Key Management Service desenvolvedor.

Correção

Para cancelar uma exclusão programada de KMS chave, consulte Para cancelar a exclusão da chave em Agendamento e cancelamento da exclusão da chave (console) no Guia do desenvolvedor.AWS Key Management Service

[KMS.4] a rotação de AWS KMS teclas deve estar ativada

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/3.6, Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 (2), 8 (3), CIS AWS v3.2.1/3.6.4, v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 PCI DSS PCI DSS

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::KMS::Key

Regra do AWS Config : cmk-backing-key-rotation-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

AWS KMS permite que os clientes girem a chave traseira, que é o material chave armazenado AWS KMS e está vinculado à ID da KMS chave. É a chave de backup usada para executar operações de criptografia, por exemplo, criptografia e descriptografia. No momento, a rotação de chaves automatizada retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados seja transparente.

CISrecomenda que você ative a rotação de KMS chaves. A rotação de chaves de criptografia ajuda a reduzir o impacto em potencial de uma chave comprometida porque os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que pode ter sido exposta.

Correção

Para ativar a rotação de KMS chaves, consulte Como ativar e desativar a rotação automática de chaves no Guia do AWS Key Management Service desenvolvedor.

[KMS.5] KMS as chaves não devem estar acessíveis ao público

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: crítica

Tipo de recurso: AWS::KMS::Key

Regra do AWS Config : kms-key-policy-no-public-access

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Isso controla se uma AWS KMS chave está acessível ao público. O controle falhará se a KMS chave estiver acessível ao público.

A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se uma política de KMS chaves permitir o acesso de contas externas, isso significa que terceiros poderão criptografar e descriptografar dados usando chaves em sua conta Conta da AWS e isso poderá resultar na exfiltração de dados de todos os serviços que usam a chave por uma ameaça interna ou por um invasor.

Correção

Para atualizar uma política de KMS chaves, consulte Políticas de chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.