AWS Certificate Manager (ACM) – Bewährte Methoden

Was ist AWS Certificate Manager (ACM)?

ACM ist der Zertifikatsmanager von Amazon, der als Service für Cloud-Kunden angeboten wird. ACM bietet seinen Nutzern Optionen zum Erstellen, Verwalten und Bereitstellen von Zertifikaten (sowohl öffentlichen als auch privaten). Der AWS Certificate Manager Private Certificate Authority Service ermöglicht kleinen und mittleren Unternehmen den Aufbau und Besitz Public-Key-Infrastruktur (PKI) mit der AWS-Cloud-Plattform. AWS-Dienste wie Elastic Load Balancer, Amazon CloudFront-Distributionen, Elastic Beanstalk und AWS API Gateway sind für die Verwendung des AWS Certificate Manager Service ausgestattet.

Ausführlichere Informationen zum AWS Certificate Manager (ACM) finden Sie in unserem Blog-Artikel

Bewährte Methoden für AWS ACM

Die Einhaltung bewährter Verfahren für ACM-Dienste hilft Unternehmen bei der Einhaltung von Auditprozessen und gewährleistet die Einhaltung verschiedener Sicherheitsgesetze, -standards und -vorschriften, wie z. B. Branchenstandard für die Datensicherheit der Zahlungskarten (PCI DSS), National Institute of Standards and Technology (NIST), Australian Prudential Regulatory Authority (APRA) usw.

Hier sind die 10 besten Methoden, die wir für AWS Certificate Manager (ACM) identifiziert haben.

1. Ablaufprüfung des ACM-Zertifikats: Eine der besten Vorgehensweisen zur Einhaltung von Sicherheitsstandards besteht darin, die Entfernung abgelaufener SSL / TLS Zertifikate werden von ACM verwaltet. Dadurch wird das Risiko eliminiert, dass ungültige SSL/TLS-Zertifikate in Ressourcen eingesetzt werden, die Fehler im Front-End auslösen. Dies kann auch zu einem Glaubwürdigkeitsverlust für das Unternehmen führen.
2. Gültigkeitsprüfung des ACM-Zertifikats: Stellen Sie sicher, dass Anfragen, die während der Ausstellung oder Erneuerung von SSL/TLS-Zertifikaten eingehen, regelmäßig validiert werden. ACM-Zertifikatsanfragen werden ungültig, wenn sie nicht innerhalb von 72 Stunden nach Antragstellung validiert werden. Anwendungsdienste können während der Beantragung eines neuen Zertifikats unterbrochen werden.
3. Verwendung der Stammzertifizierungsstelle (CA): Gemäß der Empfehlung von Amazon ist es immer eine bewährte Methode, die Verwendung von Root- CAStattdessen kann eine Zwischenzertifizierungsstelle eingerichtet werden, die die täglichen Aufgaben der Zertifikatsausstellung an Endpunkte übernimmt, und die Stammzertifizierungsstelle wiederum kann Zertifikate an Zwischenzertifizierungsstellen ausstellen. Auf diese Weise kann die Stammzertifizierungsstelle vor direkten Angriffen geschützt werden. Es empfiehlt sich außerdem, separate Konten für Stammzertifizierungsstellen und Zwischenzertifizierungsstellen einzurichten.
4. Verwendung von SSL vs. TLS:Der Schutz der Transportschicht ist für die Sicherheit sehr wichtig. Verwenden Sie nur TLS Version 1.1 oder höher und kein SSL, da es nicht mehr als sicher gilt.
5. Schutz privater Schlüssel (SSL/TLS): Wenn Sie Zertifikate anstelle von ACM-ausgestellten Zertifikaten importieren, stellen Sie sicher, dass die zum Generieren der privaten Schlüssel für SSL/TLS-Zertifikate verwendeten Schlüssel eine hohe Schlüsselstärke aufweisen, um Datenlecks zu vermeiden.
6. Vermeiden Sie die Verwendung von SSL-Wildcard-Domänenzertifikaten: Vermeiden Sie die Verwendung von Wildcard-Domänenzertifikaten. Versuchen Sie stattdessen, für jede Domäne und Subdomäne ein ACM-Einzeldomänenzertifikat mit eigenem privaten Schlüssel auszustellen. Bei einem Verstoß oder Hack von Wildcard-Zertifikaten sind alle verknüpften Domänen und Subdomänen gefährdet, was zu größeren Sicherheitsbedenken führt.
7. Verwendung importierter Zertifikate: Erlauben Sie die Verwendung importierter Zertifikate nur von authentifizierten und vertrauenswürdigen Partnern Ihrer Organisation in ACM. Beim Importieren von Wildcard-Zertifikaten in AWS Certificate Manager (ACM) besteht ein hohes Sicherheitsrisiko, da der Benutzer möglicherweise über eine unverschlüsselte Kopie des privaten Schlüssels des Zertifikats verfügt.
8. Vollqualifizierter Domänenname: Ein häufiger Fehler von Unternehmen ist die Verwendung von Aliasnamen in Zertifikaten. Es wird empfohlen, in SSL/TLS-ACM-Zertifikaten immer einen vollqualifizierten Domänennamen (FQDN) zu verwenden.
9. Führen Sie eine Prüfung der SSL/TLS-Zertifikate durch: Um den Missbrauch generierter Zertifikate zu vermeiden, führen Sie häufige Audits der AWS-Umgebung auf vertrauenswürdige Zertifikate durch und validieren Sie den Auditbericht.
10. Aktivieren Sie AWS CloudTrail- und CloudWatch-Alarme: Die CloudTrail-Protokollierung hilft bei der Verfolgung des Verlaufs von AWS-API-Aufrufen und der Überwachung von AWS-Bereitstellungen. CloudTrail kann in Anwendungen integriert werden, um automatisierte Protokollierungs- und Überwachungsaktivitäten durchzuführen. Die Aktivierung der CloudWatch-Alarmfunktion hilft bei der Warnung durch Benachrichtigungen bei Verstößen gegen konfigurierte Metriken.

Wenn Ihre Organisation eine Implementierung der AWS Certificate Authority anstrebt, wenden Sie sich bitte an info@encryptionconsulting.com Weitere Informationen finden Sie hier. BYOK ermöglicht es Unternehmen, Daten in Cloud-Diensten mit ihren eigenen Schlüsseln zu verschlüsseln – und diese in den Tresoren der Cloud-Anbieter zu speichern – und gleichzeitig weiterhin die nativen Verschlüsselungsdienste des Cloud-Anbieters zum Schutz ihrer Daten zu nutzen. Eine Win-Win-Situation.