AWS Certificate Manager (ACM) – Aanbevolen procedures

Wat is AWS Certificate Manager (ACM)?

ACM is de Certificate Manager van Amazon die als service wordt aangeboden aan haar cloudklanten. ACM biedt haar gebruikers de mogelijkheid om certificaten (zowel openbaar als privé) aan te maken, te beheren en te implementeren. De AWS Certificate Manager Private Certificate Authority-service stelt kleine en middelgrote bedrijven in staat om certificaten te bouwen en te bezitten. Publieke Sleutel Infrastructuur (PKI) met het AWS-cloudplatform. AWS-services zoals Elastic Load Balancers, Amazon CloudFront-distributies, Elastic Beanstalk en AWS API Gateway zijn uitgerust om AWS Certificate Manager Service te gebruiken.

Voor meer gedetailleerde informatie over AWS Certificate Manager (ACM), lees ons blogartikel

AWS ACM-best practices

Door best practices voor ACM-diensten te volgen, kunnen organisaties zich houden aan auditprocessen en ook voldoen aan verschillende beveiligingswetten, -normen en -regelgeving, zoals Betaalkaart Industrie Gegevensbeveiligingsstandaard (PCI DSS), National Institute of Standards and Technology (NIST), Australian Prudential Regulatory Authority (APRA) etc.

Hier zijn de 10 beste werkwijzen die we hebben geïdentificeerd voor AWS Certificate Manager (ACM)

1. Controle op verlopen ACM-certificaat: Een van de beste praktijken die gevolgd moeten worden om te voldoen aan de veiligheidsnormen, is het verwijderen van verlopen SSL / TLS Certificaten beheerd door ACM. Dit elimineert het risico van de implementatie van een ongeldig SSL/TLS-certificaat in resources, wat fouten in de front-end kan veroorzaken. Dit kan ook leiden tot verlies van geloofwaardigheid voor bedrijven.
2. Controle van de geldigheid van het ACM-certificaat: Zorg ervoor dat aanvragen die binnenkomen tijdens de uitgifte of verlenging van SSL/TLS-certificaten regelmatig worden gevalideerd. ACM-certificaataanvragen worden ongeldig wanneer ze niet binnen 72 uur na het indienen van de aanvraag worden gevalideerd. Applicatieservices kunnen worden onderbroken tijdens het aanvragen van een nieuw certificaat.
3. Gebruik van Root Certificate Authority (CA): Volgens de aanbeveling van Amazon is het altijd een goede gewoonte om het gebruik van root-toegang tot een minimum te beperken. CAIn plaats daarvan kan een tussenliggende CA worden aangemaakt om de dagelijkse activiteiten van het uitgeven van certificaten aan eindpunten uit te voeren, waarna de root-CA certificaten kan uitgeven aan tussenliggende CA's. Op deze manier kan de root-CA worden beschermd tegen directe blootstelling tijdens aanvallen. Het is ook een aanbevolen best practice om aparte accounts aan te maken voor de root-CA en de tussenliggende CA's.
4. Gebruik van SSL versus TLS:Bescherming van de transportlaag is erg belangrijk om de veiligheid te garanderen. Gebruik alleen TLS-versie 1.1 of hoger en gebruik geen SSL, aangezien dit niet langer als veilig wordt beschouwd.
5. Bescherming van privésleutels (SSL/TLS): Wanneer u certificaten importeert in plaats van door ACM uitgegeven certificaten, zorg er dan voor dat de sleutels die worden gebruikt om SSL/TLS-certificaatsleutels te genereren, een hoge sleutelsterkte hebben om datalekken te voorkomen.
6. Vermijd het gebruik van SSL-wildcarddomeincertificaten: Vermijd het gebruik van wildcard-domeincertificaten en probeer in plaats daarvan een ACM-certificaat voor één domein uit te geven voor elk domein en subdomein met een eigen privésleutel. Bij een inbreuk of hack op wildcard-certificaten worden alle gekoppelde domeinen en subdomeinen gecompromitteerd, wat leidt tot grotere beveiligingsrisico's.
7. Gebruik van geïmporteerde certificaten: Sta het gebruik van geïmporteerde certificaten alleen toe van geverifieerde en vertrouwde partners van uw organisatie in ACM. Wanneer wildcardcertificaten worden geïmporteerd in AWS Certificate Manager (ACM), is het risico op beveiligingsrisico's hoog, omdat de gebruiker mogelijk een ongecodeerde kopie van de privésleutel van het certificaat bezit.
8. Volledig gekwalificeerde domeinnaam: Een van de meest voorkomende fouten die organisaties maken, is het gebruik van aliassen in certificaten. De aanbevolen werkwijze is om altijd een volledig gekwalificeerde domeinnaam (FQDN) te gebruiken in SSL/TLS ACM-certificaten.
9. Voer een audit uit van SSL/TLS-certificaten: Om misbruik van gegenereerde certificaten te voorkomen, voert u regelmatig audits uit in de AWS-omgeving op vertrouwde certificaten en valideert u het auditrapport.
10. Schakel AWS CloudTrail- en CloudWatch-alarmen in: CloudTrail-logging helpt bij het bijhouden van de geschiedenis van AWS API-aanroepen en het monitoren van AWS-implementaties. CloudTrail kan worden geïntegreerd met applicaties voor het uitvoeren van geautomatiseerde logging- en monitoringactiviteiten. Het inschakelen van de CloudWatch-alarmfunctie helpt bij het waarschuwen via meldingen bij overschrijding van geconfigureerde metrische gegevens.

Als uw organisatie op zoek is naar implementatie van AWS Certificate Authority, neem dan contact op met info@encryptionconsulting.com Voor meer informatie. BYOK stelt organisaties in staat om gegevens binnen cloudservices te versleutelen met hun eigen sleutels – en deze te bewaren in de kluizen van de cloudproviders – terwijl ze toch gebruik kunnen blijven maken van de native versleutelingsservices van de cloudprovider om hun gegevens te beschermen. Een win-winsituatie.