SEC09-BP01 实施安全密钥和证书管理 - AWS Well-Architected 框架

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC09-BP01 实施安全密钥和证书管理

传输层安全 (TLS) 证书用于保护网络通信,并通过互联网和私有网络建立网站、资源和工作负载的身份。

预期结果:一个安全的证书管理系统,可以在公钥基础架构中配置、部署、存储和续订证书(PKI)。安全密钥和证书管理机制可防止证书私钥材料泄露,并定期自动续订证书。它还与其他服务集成,为工作负载内的计算机资源提供安全的网络通信和标识。密钥材料永远不应能够通过人员的身份来访问。

常见反模式:

  • 在证书部署或续订流程中执行人工步骤。

  • 在设计私有证书颁发机构(CA,Certificate Authority)时,对 CA 层次结构的关注不够。

  • 对公共资源使用自签名证书。

建立此最佳实践的好处:

  • 通过自动化的部署和续订流程简化证书管理

  • 鼓励使用TLS证书对传输中的数据进行加密

  • 提高了证书颁发机构执行的证书操作的安全性和可审计性

  • 在 CA 层次结构的不同层级上组织管理职责

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

现代工作负载广泛使用加密的网络通信,这些PKI协议使用诸如TLS. PKI证书管理可能很复杂,但是自动证书配置、部署和续订可以减少与证书管理相关的摩擦。

AWS 提供两种管理通用PKI证书的服务:AWS Certificate ManagerAWS Private Certificate Authority (AWS Private CA)。ACM是客户用来预置、管理和部署证书的主要服务,既可用于面向公众的工作负载,也适用于私有 AWS 工作负载。ACM使用许多其他 AWS 托管服务颁发证书 AWS Private CA 并与之集成,为工作负载提供安全的TLS证书。

AWS Private CA 允许您建立自己的根证书颁发机构或从属证书颁发机构,并通过TLS颁发证书API。在控制和管理TLS连接客户端的信任链的场景中,您可以使用这些类型的证书。除了TLS用例外, AWS Private CA 还可以使用自定义模板向 Kubernetes pod、Matter 设备产品认证、代码签名和其他用例颁发证书。您还可以使用 Roles IAMAnywher e 为已颁发由您的私有 CA 签发的 X.509 证书的本地工作负载提供临时IAM证书。

除ACM和之外 AWS Private CA,还AWS IoT Core为物联网设备配置、管理和部署PKI证书提供专业支持。 AWS IoT Core 提供专门的机制,用于将物联网设备大规模加载到您的公钥基础架构。

建立私有 CA 层次结构的注意事项

当您需要建立私有 CA 时,请务必重视预先正确设计 CA 层次结构。在创建私有 CA 层次结构 AWS 账户 时,最好将 CA 层次结构的每个级别单独部署。这一有意的步骤减少了 CA 层次结构中每个级别的表面积,使发现 CloudTrail日志数据中的异常变得更加简单,并缩小了其中一个账户遭到未经授权的访问或影响的范围。根 CA 应位于自己的独立账户中,并且只能用于发布一个或多个中间 CA 证书。

然后,CAs在独立于根 CA 账户的账户中创建一个或多个中间账户,为最终用户、设备或其他工作负载颁发证书。最后,从您的根 CA 向中间 CA 颁发证书CAs,中间证书反过来又会向您的最终用户或设备颁发证书。有关规划 CA 部署和设计 CA 层次结构(包括弹性规划、跨区域复制、跨组织共享CAs等)的更多信息,请参阅规划部署。 AWS Private CA

实施步骤

  1. 确定您的用例所需的相关 AWS 服务:

    • 许多用例都可以使用利用现有的 AWS 公钥基础架构AWS Certificate Manager。ACM可用于为 Web 服务器、负载均衡器部署TLS证书,或者为公共信任的证书部署其他用途。

    • 在您需要建立自己的私有证书颁发机构层次结构或需要使用可导出证书时,请考虑 AWS Private CA。ACM然后可以使用颁发多种类型的最终实体证书。 AWS Private CA

    • 对于必须为嵌入式物联网(IoT)设备大规模预置证书的使用场景,请考虑使用 AWS IoT Core

  2. 尽可能实施自动证书续订:

    • 对颁发的证书ACM以及集成的 AWS 托管服务使用ACM托管续订

  3. 建立日志记录和审计跟踪:

    • 启用CloudTrail日志以跟踪对持有证书颁发机构的账户的访问权限。考虑在中配置日志文件完整性验证 CloudTrail 以验证日志数据的真实性。

    • 定期生成和审查审计报告,列出您的私有 CA 已颁发或撤销的证书。这些报告可以导出到 S3 存储桶。

    • 部署私有 CA 时,您还需要建立一个 S3 存储桶来存储证书吊销列表 (CRL)。有关根据工作负载要求配置此 S3 存储桶的指导,请参阅规划证书吊销列表 (CRL)

资源

相关最佳实践:

相关文档:

相关视频:

相关示例:

相关工具: