Administrador de certificados de AWS (ACM): prácticas recomendadas

¿Qué es AWS Certificate Manager (ACM)?

ACM es el Administrador de Certificados de Amazon, ofrecido como servicio para sus clientes de la nube. ACM ofrece a sus usuarios opciones para crear, administrar e implementar certificados (tanto públicos como privados). El servicio de Autoridad de Certificación Privada de AWS Certificate Manager permite a las pequeñas y medianas empresas crear y poseer... Infraestructura de clave pública (PKI) Con la plataforma en la nube de AWS. Los servicios de AWS, como Elastic Load Balancers, distribuciones de Amazon CloudFront, Elastic Beanstalk y AWS API Gateway, están preparados para usar el servicio AWS Certificate Manager.

Para obtener información más detallada sobre AWS Certificate Manager (ACM), lea nuestro artículo de blog.

Prácticas recomendadas de AWS ACM

Seguir las mejores prácticas para los servicios de ACM ayuda a las organizaciones a cumplir con los procesos de auditoría y también a garantizar el cumplimiento de varias leyes, normas y regulaciones de seguridad, como Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), Instituto Nacional de Estándares y Tecnología (NIST), Autoridad Reguladora Prudencial Australiana (APRA), etc.

Estas son las 10 mejores prácticas que identificamos para AWS Certificate Manager (ACM)

1. Comprobación de caducidad del certificado ACM: Una de las mejores prácticas a seguir para cumplir con los estándares de seguridad es garantizar la eliminación de los datos caducados. SSL / TLS Certificados gestionados por ACM. Esto elimina el riesgo de implementar un certificado SSL/TLS no válido en los recursos, lo que genera un error en el front-end. Esto también podría causar pérdida de credibilidad para la empresa.
2. Comprobación de validez del certificado ACM: Asegúrese de que las solicitudes recibidas durante la emisión o renovación de certificados SSL/TLS se validen periódicamente. Las solicitudes de certificados ACM se invalidan si no se validan dentro de las 72 horas posteriores a su inicio. Los servicios de la aplicación podrían interrumpirse durante la solicitud de un nuevo certificado.
3. Uso de la autoridad de certificación raíz (CA): Según la recomendación de Amazon, siempre es una buena práctica minimizar el uso de la raíz. CAEn su lugar, se puede crear una CA intermedia para realizar las actividades diarias de emisión de certificados a los endpoints, y la CA raíz, a su vez, puede emitir certificados a las CA intermedias. De esta forma, la CA raíz puede protegerse de la exposición directa ante cualquier ataque. Además, se recomienda proporcionar cuentas separadas para la CA raíz y las CA intermedias.
4. Uso de SSL vs TLS:La protección de la capa de transporte es fundamental para garantizar la seguridad. Utilice únicamente TLS versión 1.1 o superior y no utilice SSL, ya que ya no se considera seguro.
5. Protección de claves privadas (SSL/TLS): Siempre que importe certificados en lugar de certificados emitidos por ACM, asegúrese de que las claves utilizadas para generar claves privadas de certificados SSL/TLS tengan una alta solidez de clave para evitar la violación de datos.
6. Evite utilizar certificados de dominio comodín SSL: Evite usar certificados de dominio comodín; en su lugar, intente emitir un certificado de dominio único ACM para cada dominio y subdominio con su propia clave privada. Siempre que se produce una vulneración o un ataque informático a los certificados comodín, todos los dominios y subdominios vinculados se ven comprometidos, lo que aumenta la preocupación por la seguridad.
7. Uso de certificados importados: Permita el uso de certificados importados únicamente de socios autenticados y de confianza de su organización en ACM. Al importar certificados comodín a AWS Certificate Manager (ACM), el riesgo de amenazas a la seguridad es alto, ya que el usuario podría tener una copia sin cifrar de la clave privada del certificado.
8. Nombre de dominio completo: Uno de los errores más comunes que cometen las organizaciones es usar alias en los certificados. Se recomienda usar siempre un nombre de dominio completo (FQDN) en los certificados SSL/TLS ACM.
9. Realizar auditoría de certificados SSL/TLS: Para evitar el uso indebido de los certificados generados, realice auditorías frecuentes del entorno de AWS para verificar que no haya certificados confiables y valide el informe de auditoría.
10. Activar las alarmas de AWS CloudTrail y CloudWatch: El registro de CloudTrail facilita el seguimiento del historial de llamadas a la API de AWS y la monitorización de las implementaciones de AWS. CloudTrail se puede integrar con aplicaciones para realizar actividades automatizadas de registro y monitorización. La función de alarma de CloudWatch permite enviar notificaciones cuando se producen infracciones en las métricas configuradas.

Si su organización está buscando implementar la Autoridad de Certificación de AWS, consulte [email protected] Para más información. BYOK permite a las organizaciones cifrar datos dentro de los servicios en la nube con sus propias claves, que se mantienen en las bóvedas de los proveedores, a la vez que siguen aprovechando los servicios de cifrado nativos del proveedor para proteger sus datos. Una situación beneficiosa para todos.