Proteja su infraestructura con certificados mediante AWS Certificate Manager

A certificado digital Es un componente crucial para proteger la infraestructura y garantizar la autenticidad de usuarios, aplicaciones, dispositivos, servidores y más. El certificado digital permite autenticar y autorizar servicios, así como ejecutar tareas como iniciar una conexión HTTPS y establecer una conexión cifrada. cifrado asimétricoy comprobar la autenticidad de un usuario, sitio web o dispositivo. Los certificados digitales sustituyen la combinación de nombre de usuario y contraseña utilizada para la autenticación e introducen funcionalidades adicionales. Por ejemplo, si dos partes desean establecer una conexión segura mediante claves públicas, la clave pública se adjunta al certificado digital. Esto reduce drásticamente las posibilidades de ataques de intermediario y mantiene la conexión segura.

Sin embargo, la gestión de estos certificados digitales requiere una infraestructura adecuada. Los certificados digitales son emitidos por Autoridades de Certificación (CA). Si una CA pública y de confianza emite el certificado digital, todos los navegadores lo aceptarán automáticamente tras comprobar su validez. Si la CA no es de confianza, o si el certificado es autofirmado (es decir, no emitido por una CA), será necesario aceptarlo explícitamente o el navegador mostrará una advertencia.

AWS Certificate Manager (ACM) proporciona una forma de crear, almacenar y renovar certificados públicos y privados. Certificados SSL/TLS X.509, incluyendo la claves públicas y privadasEstos certificados se pueden utilizar para proteger sitios web y aplicaciones alojados en AWS.

Administrador de certificados de Amazon Web Services (ACM)

AWS Certificate Manager (ACM) es un servicio de Amazon que permite a los usuarios aprovisionar, administrar e implementar certificados SSL/TLS públicos y privados para su uso con los servicios de AWS y los recursos conectados internamente. Los certificados SSL/TLS se utilizan para establecer una conexión de red segura y demostrar la identidad y los recursos de un sitio web en una red privada. ACM se encarga de comprar, administrar y renovar los certificados SSL/TLS e implementarlos en la infraestructura, lo que ahorra tiempo y mejora la gestión.
AWS ofrece dos opciones a los clientes que implementan certificados X.509 administrados. Las organizaciones pueden elegir la que mejor se adapte a sus necesidades.

• Administrador de certificados de AWS (ACM)
• CA privada de ACM

CA privada de ACM

ACM Private CA es un servicio para clientes empresariales que crean una infraestructura de clave pública (PKI) Dentro de la nube de AWS y destinada al uso privado dentro de una organización. Con ACM Private CA, los usuarios pueden crear su jerarquía de CA y emitir certificados para autenticar usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos. Los certificados emitidos por una CA privada no se pueden usar en Internet.

Certificado ACM

AWS Certificate Manager genera certificados X.509 versión 3. Cada certificado tiene una validez de 13 meses y contiene las siguientes extensiones:

• Restricciones básicas: especifica si el sujeto del certificado es una autoridad de certificación (CA).
• Identificador de clave de autoridad: permite la identificación de la clave pública correspondiente a la clave privada utilizada para firmar el certificado.
• Identificador de clave de sujeto: permite la identificación de certificados que contienen una clave pública específica.
• Uso de la clave: define el propósito de la clave pública incorporada en el certificado.
• Uso de clave extendido: especifica uno o más propósitos para los cuales se puede usar la clave pública, además de los propósitos identificados por la extensión de Uso de clave.
• Puntos de distribución de CRL: especifica dónde se puede obtener la información de CRL.

CA raíz de ACM

Nombre distinguido	Algoritmo de cifrado
CN=Amazon Root CA 1, O=Amazon, C=EE. UU.	RSA de 2048 bits (RSA_2048)
CN=Amazon Root CA 2, O=Amazon, C=EE. UU.	RSA de 4096 bits (RSA_4096)
CN=Amazon Root CA 3, O=Amazon, C=EE. UU.	Curva prima elíptica de 256 bits (EC_prime256v1)
CN=Amazon Root CA 4, O=Amazon, C=EE. UU.	Curva prima elíptica de 384 bits (EC_secp384r1)

La raíz de confianza predeterminada para los certificados emitidos por ACM es CN=Amazon Root CA 1, O=Amazon, C=US, que ofrece seguridad RSA de 2048 bits. Las demás raíces están reservadas para uso futuro. Todas las raíces están firmadas por la Autoridad de Certificación (CA) raíz de Starfield Services.

Características del certificado ACM

Los certificados proporcionados por ACM tienen características específicas. Si el certificado se importa a ACM, es posible que estas características no se apliquen. Las características de los certificados públicos son:

• Validación de dominio: Los certificados ACM se validan mediante el dominio, información que se incluye en el campo del sujeto del certificado. Al solicitar un certificado ACM, la organización debe validar que posee, controla y administra todos los dominios especificados en la solicitud. Los usuarios pueden validar la propiedad del dominio por correo electrónico o mediante DNS.

• Período de validez: El período de validez de los certificados ACM es de 13 meses o 395 días.

• Renovación e implementación administradas: ACM gestiona el proceso de renovación de certificados ACM y su suministro tras su renovación. La renovación automática ayuda a las organizaciones a evitar tiempos de inactividad debido a certificados mal configurados, revocados o caducados.

• Confianza en navegadores y aplicaciones: 
  Los principales navegadores, como Google Chrome, Microsoft Internet Explorer y Microsoft Edge, Mozilla Firefox y Apple Safari, confían en los certificados ACM. Los navegadores que confían en los certificados ACM muestran un icono de candado en la barra de estado o de direcciones al conectarse mediante SSL/TLS a sitios que utilizan certificados ACM. Java también confía en los certificados ACM.

• Múltiples nombres de dominio: Cada certificado ACM debe incluir al menos un nombre de dominio completo (FQDN), y los usuarios pueden agregar nombres adicionales si lo desean. Por ejemplo, al crear un certificado ACM para www.encryptionconsulting.com, también pueden agregar el nombre www.cryptionconsulting.net si pueden acceder a su sitio web con cualquiera de los dos. Esto también aplica a los dominios vacíos (también conocidos como vértice de zona o dominios vacíos). Es decir, los usuarios pueden solicitar un certificado ACM para www.cryptionconsulting.com y agregar el nombre encryptionconsulting.com.

• Nombres de dominio comodín: ACM permite a los usuarios usar un asterisco (*) en el nombre de dominio para crear un certificado ACM con un nombre comodín que puede proteger varios sitios en el mismo dominio. Por ejemplo, *.encryptionconsulting.com cubre www.encryptionconsulting.com e imagwww.encryptionconsulting.com/es.
• Algoritmos Un certificado debe especificar un algoritmo y el tamaño de la clave. Actualmente, ACM admite los siguientes algoritmos de clave pública:
  • RSA de 2048 bits (RSA_2048)
  • RSA de 4096 bits (RSA_4096)
  • Curva prima elíptica de 256 bits (EC_prime256v1)
  • Curva prima elíptica de 384 bits (EC_secp384r1)

Desventajas del uso de un certificado ACM

• ACM no proporciona certificados de validación extendida (EV) ni certificados de validación de organización (OV).
• ACM no proporciona certificados para nada que no sean los protocolos SSL/TLS.
• Las organizaciones no pueden utilizar certificados ACM para el cifrado de correo electrónico.
• ACM solo permite ASCII con codificación UTF-8 para nombres de dominio, incluidas las etiquetas que contienen "xn--" (Punycode). ACM no acepta entrada Unicode (etiquetas u) para nombres de dominio.
• Actualmente, ACM no permite a los usuarios optar por no participar en la renovación gestionada de certificados de ACM. Asimismo, la renovación gestionada no está disponible para los certificados que las organizaciones importan a ACM.
• Los usuarios no pueden solicitar certificados para nombres de dominio propiedad de Amazon, como aquellos que terminan en amazonaws.com, cloudfront.net o elasticbeanstalk.com.
• Los usuarios no pueden descargar la clave privada de un certificado ACM.
• Los usuarios no pueden instalar certificados ACM directamente en su sitio web o aplicación de Amazon Elastic Compute Cloud (Amazon EC2). Sin embargo, pueden usar su certificado con cualquier servicio integrado.

Servicios integrados con AWS Certificate Manager

El Administrador de Certificados de AWS es compatible con un número creciente de servicios de AWS. Las organizaciones no pueden instalar su certificado ACM ni su certificado de CA privada de ACM directamente en su sitio web o aplicación de AWS.

• Equilibrio de carga elástico: Elastic Load Balancing distribuye automáticamente el tráfico entrante de aplicaciones de la organización entre varias instancias de Amazon EC2. Detecta instancias con problemas y redirige el tráfico a instancias con buen estado hasta que estas se restablezcan. Elastic Load Balancing escala automáticamente su capacidad de gestión de solicitudes en respuesta al tráfico entrante.
  En general, para ofrecer contenido seguro mediante SSL/TLS, los balanceadores de carga requieren la instalación de certificados SSL/TLS en el balanceador o en la instancia backend de Amazon EC2. ACM se integra con Elastic Load Balancing para implementar certificados ACM en el balanceador de carga.
• Amazon CloudFront: Amazon CloudFront es un servicio web que agiliza la distribución del contenido web dinámico y estático de una organización a los usuarios finales, entregándolo desde una red global de ubicaciones de borde. Cuando un usuario final solicita contenido que se sirve a través de CloudFront, se le redirige a la ubicación de borde que ofrece la menor latencia. Esto garantiza que el contenido se entregue con el mejor rendimiento posible. Si el contenido se encuentra actualmente en esa ubicación de borde, CloudFront lo entrega inmediatamente. Si no se encuentra actualmente en esa ubicación de borde, CloudFront lo recupera del bucket de Amazon S3 o del servidor web que los usuarios hayan identificado como la fuente de contenido definitiva.
  Para ofrecer contenido seguro mediante SSL/TLS, CloudFront requiere la instalación de certificados SSL/TLS en la distribución de CloudFront o en la fuente de contenido respaldada. ACM se integra con CloudFront para implementar certificados ACM en la distribución de CloudFront.
• AWS Elastic Beanstalk: Elastic Beanstalk ayuda a los usuarios a implementar y administrar aplicaciones en la nube de AWS sin preocuparse por la infraestructura que las ejecuta. AWS Elastic Beanstalk reduce la complejidad de la administración. Los usuarios cargan sus aplicaciones y Elastic Beanstalk gestiona automáticamente los detalles del aprovisionamiento de capacidad, el balanceo de carga, el escalado y la monitorización del estado. Elastic Beanstalk utiliza el servicio Elastic Load Balancing para crear un balanceador de carga.
  Debes configurar el balanceador de carga para tu aplicación en la consola de Elastic Beanstalk para elegir un rol de certificado.
• Puerta de enlace API de Amazon: Con la proliferación de dispositivos móviles y el Internet de las Cosas (IoT), es cada vez más común crear API que permitan acceder a datos e interactuar con sistemas back-end en AWS. Los usuarios pueden usar API Gateway para publicar, mantener, supervisar y proteger sus API. Tras implementar su API en API Gateway, pueden configurar un nombre de dominio personalizado para simplificar el acceso. Para ello, deben proporcionar un certificado SSL/TLS. Pueden usar ACM para generar o importar el certificado.
• Enclaves Nitro de AWS: AWS Nitro Enclaves es una función de Amazon EC2 que permite a los usuarios crear entornos de ejecución aislados, denominados enclaves, a partir de instancias de Amazon EC2. Los enclaves son máquinas virtuales independientes, reforzadas y con restricciones estrictas. Proporcionan únicamente conectividad segura mediante sockets locales con su instancia principal. No tienen almacenamiento persistente, acceso interactivo ni redes externas. Los usuarios no pueden acceder a un enclave mediante SSH. Los procesos, aplicaciones o usuarios de la instancia principal (incluidos los usuarios raíz o administradores) no pueden acceder a los datos ni a las aplicaciones dentro del enclave.
• Formación en la nube de AWS: AWS CloudFormation ayuda a los usuarios a modelar y configurar sus recursos de AWS. Los usuarios crean una plantilla que describe los recursos de AWS que desean usar, como Elastic Load Balancing o API Gateway. AWS CloudFormation se encarga del aprovisionamiento y la configuración de dichos recursos. Los usuarios no necesitan crear ni configurar individualmente los recursos de AWS ni determinar las dependencias entre ellos; AWS CloudFormation gestiona todo esto. Los certificados ACM se incluyen como recurso de plantilla, lo que significa que AWS CloudFormation puede solicitar certificados ACM que los usuarios pueden utilizar con los servicios de AWS para proteger las conexiones.
  Con la potente automatización que proporciona AWS CloudFormation, es fácil superar la cuota de certificados, especialmente con las nuevas cuentas de AWS.

Protección de datos en AWS Certificate Manager

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos en AWS Certificate Manager. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la nube de AWS. Las organizaciones son responsables de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye las tareas de configuración y gestión de seguridad para los servicios de AWS que utilizan las organizaciones.

Recomendamos que las organizaciones protejan las credenciales de sus cuentas de AWS y configuren cuentas de usuario individuales con AWS Identity and Access Management (IAM) para la protección de datos. De esta forma, cada usuario recibe únicamente los permisos necesarios para cumplir con sus funciones. También recomendamos que las organizaciones protejan sus datos de las siguientes maneras:

• Utilice la autenticación multifactor (MFA) con cada cuenta.
• Utilice SSL/TLS para comunicarse con los recursos de AWS. Recomendamos TLS 1.2 o posterior.
• Configure la API y el registro de actividad del usuario con AWS CloudTrail.
• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de AWS.
• Utilice servicios de seguridad administrados avanzados como Amazon Macie, que ayuda a descubrir y proteger datos personales almacenados en Amazon S3.
• Si los usuarios necesitan módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto final FIPS.

Recomendamos encarecidamente a los usuarios que nunca incluyan información de identificación confidencial, como los números de cuenta de sus clientes, en campos de formato libre, como el campo Nombre. Esto incluye cuando trabajan con ACM u otros servicios de AWS mediante la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que introduzcan en ACM u otros servicios podría recopilarse para su inclusión en los registros de diagnóstico. Al proporcionar una URL a un servidor externo, no incluyan información de credenciales en la URL para validar su solicitud a ese servidor.

Seguridad de la clave privada de ACM

Cuando los usuarios solicitan un certificado público (p. 30), AWS Certificate Manager (ACM) genera un par de claves pública/privada. Para los certificados importados (p. 54), los usuarios generan el par de claves. La clave pública se convierte en parte del certificado. ACM almacena el certificado y su clave privada correspondiente, y utiliza AWS Key Management Service (AWS KMS) para proteger la clave privada. El proceso funciona así:

1. Cuando los usuarios que acceden por primera vez solicitan o importan un certificado en una región de AWS, ACM crea una clave maestra de cliente (CMK) administrada por AWS en AWS KMS con el alias AWS/ACM. Esta CMK es única en cada cuenta de AWS y en cada región de AWS.
2. ACM utiliza esta CMK para cifrar la clave privada del certificado. ACM almacena únicamente una versión cifrada de la clave privada; no la almacena en texto plano. ACM utiliza la misma CMK para cifrar las claves privadas de todos los certificados de una cuenta y una región de AWS específicas.
3. Cuando los usuarios asocian el certificado a un servicio integrado con AWS Certificate Manager, ACM envía el certificado y la clave privada cifrada al servicio. También se crea una concesión en AWS KMS, lo que permite al servicio usar la CMK en AWS KMS para descifrar la clave privada del certificado.
4. Los servicios integrados utilizan la CMK en AWS KMS para descifrar la clave privada. Posteriormente, el servicio utiliza el certificado y la clave privada descifrada (texto sin formato) para establecer canales de comunicación seguros (sesiones SSL/TLS) con sus clientes.
5. Cuando el certificado se desvincula de un servicio integrado, se retira la concesión creada en el paso 3. Esto significa que el servicio ya no puede usar la CMK en AWS KMS para descifrar la clave privada del certificado.

Solicitar un certificado público mediante la consola

Para solicitar un certificado general de ACM (consola):

1. Inicie sesión en la Consola de administración de AWS y abra el Consola ACM. Escoger Solicitar un certificado.
2. En la solicitar un certificado página, elija la solicitar un certificado público y solicitar un certificado para continuar.
3. En la Agregar nombres de dominio página, escriba su nombre de dominio. Los usuarios pueden usar un nombre de dominio completo (FQDN), como www.encryptionconsulting.com, o un nombre de dominio simple o de ápice como encryptionconsulting.com. Los usuarios también pueden usar un asterisco (*) como comodín en la posición más a la izquierda para proteger varios nombres de sitios en el mismo dominio. Por ejemplo, *.encryptionconsulting.com protege corp.encryptionconsulting.com y imágenwww.encryptionconsulting.com/esEl nombre comodín aparecerá en el campo Asunto y en la extensión Nombre alternativo del sujeto del certificado ACM.
4. Para agregar otro nombre, seleccione añadir otro nombre a este certificado y escriba el nombre en el cuadro de texto. Esto es útil para proteger un dominio simple o de ápice (como consultoríaencriptación.com) y subdominios como *.encryptionconsulting.com).
5. En la Seleccionar método de validación página, elija cualquiera Validación de DNS or Validación de correo electrónico, dependiendo de sus necesidades.
   Antes de que ACM emita un certificado, verifica que el usuario sea el propietario o controle los nombres de dominio incluidos en su solicitud. Los usuarios pueden optar por la validación por correo electrónico o por DNS. Si eligen la validación por correo electrónico, ACM envía correos de validación a tres direcciones de contacto registradas en la base de datos WHOIS y a cinco direcciones comunes de administración del sistema para cada nombre de dominio. El usuario o un representante autorizado debe responder a uno de estos correos.
6. En la Agregar etiquetas En esta página, los usuarios pueden etiquetar su certificado opcionalmente. Las etiquetas son pares clave-valor que sirven como metadatos para identificar y organizar los recursos de AWS.
   Cuando los usuarios terminen de agregar etiquetas, seleccione Revisar .
7. Si Revisar La página contiene información correcta sobre su solicitud, seleccione Confirmar y solicitarUna página de confirmación muestra que su solicitud se está procesando y que los dominios de certificado se están validando. Los certificados en espera de validación se encuentran en el... Validación pendiente estado.

Servicios de AWS de Encryption Consulting

Encryption Consulting ofrece Servicios de protección de datos de AWSdonde aportamos nuestra experiencia en escalabilidad, rentabilidad y facilidad de implementación. AWS es un proveedor líder de servicios en la nube con una amplia gama de servicios. Se estima que 41.5% del total de usuarios de la nube son consumidores de los servicios en la nube de AWS. Amazon tiene más de 1 millones de usuarios in 190 En muchos países, se estima que un tercio de los usuarios de internet visitan un sitio web que utiliza AWS. Con una base de clientes y servicios tan extensa, existe una amenaza inminente de filtración y pérdida de datos.

Las organizaciones que utilizan los servicios web y las aplicaciones de AWS son responsables de proteger sus datos confidenciales y críticos almacenados en la nube. AWS facilita la implementación y la gestión de sus operaciones de TI; sin embargo, un desafío radica en que pueden producirse errores que tengan consecuencias de mayor gravedad.

Por ejemplo, la configuración incorrecta de un almacén de datos puede exponer información confidencial, como información de identificación personal (PII), datos de la industria de tarjetas de pago (PCI) o información médica protegida (PHI).

Una prestigiosa empresa de análisis de marketing no configuró los controles de seguridad adecuados en un servicio de almacenamiento simple de Amazon (Amazon S3) dentro de su entorno de AWS durante una reciente vulneración de seguridad. Como resultado de esta configuración incorrecta de AWS, se filtraron datos de 123 millones de hogares, incluyendo información confidencial como domicilios, ocupación e información hipotecaria.

Encryption Consulting LLC ayudará a su organización con su experiencia en plataformas en la nube y servicios de seguridad a implementar controles de protección de datos en su entorno de nube de AWS. Conozca más sobre nuestros servicios. aquíTambién puedes leer sobre un caso práctico que realizamos sobre el Servicio de Protección de Datos. aquí.

Conclusión

AWS Certificate Management (ACM) facilita la gestión de certificados SSL/TLS y su integración en el entorno de AWS para proteger dispositivos, sitios web e infraestructura. Si bien se utilizan certificados SSL/TLS convencionales, ACM presenta ventajas y desventajas que lo diferencian del uso tradicional de estos certificados. En consultoría de cifrado, ofrecemos una evaluación detallada y una solución a las organizaciones para crear infraestructuras seguras y escalables, manteniendo la eficiencia y minimizando los costos.

Referencias:

• docs.aws.amazon.com/acm/latest/userguide/acm-overview
• aws.amazon.com/certificate-manager/