Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Cloud Key Management

AWS Certificate Manager Privé CA

Posted byArische Kumar 5 Minuten
AWS-certificaatbeheerder
Inhoudsopgave

E-commercebedrijven worden steeds afhankelijker van de digitale economie en elektronische informatie, waardoor ze een strikt kader voor naleving van gegevensprivacy en gegevensbeveiliging nodig hebben.

Publieke Sleutel Infrastructuur (PKI) wordt essentieel om een ​​veilige relatie op te bouwen en in kaart te brengen tussen gebruikers, apparaten, diensten en organisaties en hun digitale identiteiten in de vorm van digitale handtekeningen en certificaten.

Aan alle crypto-engineers die er zijn, hebben jullie ooit gedacht aan een PKI-implementatie met een minimalistische configuratie en een volledig schaalbare functionaliteit, inclusief alle voordelen die een cloud-implementatie te bieden heeft?

Welkom bij AWS Certificate Manager Private Certificate Authority (ACM PCA). ACM PCA biedt vrijwel dezelfde functionaliteiten als On-prem PKI-providers.

Laten we de PKI-aanbiedingen van AWS eens bekijken

AWS biedt twee diensten aan in de Cloud PKI-ruimte

  1. AWS-certificaatbeheerder Is een door AWS beheerde service bekend als ACM die voorziet in SSL / TLS op X.509 gebaseerde openbare certificaten die voor verschillende doeleinden worden gebruikt (bijv. webserverauthenticatie, enz.). Deze service is gericht op klanten die een veilige online aanwezigheid nodig hebben met behulp van TLS-certificaten. ACM implementeert certificaten met behulp van geïntegreerde AWS-services –
    • Amazon
    • CloudFront
    • Elastische load balancing
    • Amazon API-gateway
    • en andere geïntegreerde diensten.

    Bedrijven met een beveiligde openbare website met veel webverkeer zullen hier de voorkeur aan geven certificaatbeheer service die automatische verlenging, ondersteuning voor meerdere domeinen en een probleemloze certificaatbeheerervaring biedt.

    Let op: u kunt het openbare SSL/TLS-certificaat niet exporteren uit de ACM, omdat de ACM niet toestaat dat gebruikers de persoonlijke sleutels van certificaten exporteren.

  2. AWS Certificate Manager Privé-certificeringsinstantie Een door AWS beheerde privé-CA-service, ook bekend als ACM PCA, die X.509-certificaten verstrekt. De ACM PCA is met name geschikt voor kleine en middelgrote ondernemingen die hun eigen Public Key Infrastructure (PKI) binnen de AWS Cloud willen bouwen en deze voor privégebruik binnen de organisatie willen distribueren. Binnen een privé-CA kunnen gebruikers hun eigen CA-hiërarchie creëren en certificaten uitgeven voor authenticatie van interne gebruikers, applicaties, services, IoT-apparaten, enz.

Laten we nu de verschillende bespreken Tweelaagse Cloud PKI-modellen aangeboden door AWS voor ACM PCA:

  1. Privécloud: In deze omgeving bevinden zowel de root-CA als de subordinate CA zich in de AWS Cloud.
    Private Cloud
  2. Hybride cloud: In deze omgeving bevindt de root-CA zich in een on-premises datacenter, terwijl de subordinate CA zich in de AWS-cloud bevindt. Dit vereist dat de root-CA (on-premises) de CSR voor de subordinate CA in de AWS-cloud ondertekent.
    hybride cloud

In de Private Cloud-architectuur kunt u de root-CA of subordinate CA in de AWS-cloud hosten en deze gebruiken voor al uw certificaatbehoeften, zowel on-premises als in de cloudinfrastructuur. In de Hybrid Cloud-architectuur kunt u de root-CA echter on-premises en de subordinate CA in de AWS-cloud hosten voor alle certificaatvereisten van de onderneming. Beide modellen hebben hun voor- en nadelen. Het "Private Cloud Model" biedt u alle cloudvoordelen (hoge beschikbaarheid, beheergemak, toegangscontrole, enz.), maar als best practice voor beveiliging wilt u mogelijk volledige controle over uw root-CA hebben, waarbij alle cryptografische sleutels worden beheerd in de on-premises HSM, wat u in deze aanpak niet hebt. Het "Hybrid Cloud Model" daarentegen biedt u volledige controle over uw on-premises root-CA. Dit voegt echter wel wat complexiteit toe aan de algehele architectuur door twee CA's (root- en subordinate CA) op verschillende locaties te hosten (on-premises en in de AWS-cloud).Let op: Er zijn verschillende combinaties mogelijk voor het plaatsen van de CA's (Root/Policy/Subordinate/Issuing) in On-prem of Cloud-omgeving(en), afhankelijk van de architectuurbehoeften van de organisatie (zoals beheer van de CA-levenscyclus, DR-planning, etc.)

Op maat gemaakte cloud-sleutelbeheerservices

Ontvang flexibele en aanpasbare adviesdiensten die aansluiten bij uw cloudvereisten.

Meer informatie

Laten we dieper ingaan op de ACM PCA-service

Met ACM Private CA kunt u een hiërarchie van certificeringsinstanties creëren met maximaal vijf niveaus. De root-CA, bovenaan de hiërarchie, kan maximaal vier niveaus van ondergeschikte CA's bevatten. U kunt meerdere hiërarchieën creëren, elk met een eigen root-certificeringsinstantie.

De ACM PCA kan X.509-eindentiteitscertificaten uitgeven voor het creëren van gecodeerde kanalen, het authenticeren van gebruikers, computers, API-eindpunten en IoT-apparaten, code ondertekening scenario's en ook het implementeren van Online Certificate Status Protocol (OCSP) voor het verkrijgen van de certificaatintrekkingsstatus.

Zoals vermeld, biedt ACM PCA X.509-certificaten aan de eindentiteit. Als AWS Certificate Manager een privécertificaat uitgeeft, kan dit worden gekoppeld aan elke service die met ACM is geïntegreerd (bijv. Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway, enz.). Dit geldt in beide scenario's: de root-CA kan zich al dan niet in de AWS-cloud bevinden, maar de subordinate CA kan zich alleen in de AWS-cloud bevinden. Als u de ACM Private CA API of AWS CLI gebruikt om een ​​privécertificaat vanuit ACM uit te geven/te exporteren, kunt u het certificaat overal installeren, afhankelijk van uw gebruiksscenario.

Nadat u de ACM private CA hebt ingericht, kunt u direct certificaten uitgeven zonder dat er validatie vereist is van een externe CA en volgens de interne behoeften van uw bedrijf. Enkele standaard use-cases zijn:

  • Verstrek certificaten met een onderwerpnaam/vervaldatum.
  • Verbetering van de uptime door middel van geautomatiseerde workflows voor certificaatbeheer
  • Uitgifte van beperkingscertificaten met behulp van sjablonen.

ACM PCA biedt het model van gedeelde verantwoordelijkheid voor AWS Cloud Security, waarbij 'beveiliging van de cloud' bij AWS hoort en 'beveiliging in de cloud' bij de 'klant'. Dit gedeelde beveiligingsmodel kan worden geïmplementeerd met behulp van AWS-gegevensbeschermingsservices (bijv. Macie, IAM, Cross Account Access, Logging, Monitoring, Audit Report etc.).

Tot slot wil ik uw aandacht vestigen op een aantal best practices voor effectief gebruik van ACM PCA:

  1. Logische uitleg van uw PKI-infrastructuur (plaatsing van CA's)
  2. Documentbeleidsprocedures voor geldigheidsperioden/padlengte
  3. Houd uw privésleutel veilig en voorkom elke vorm van compromittering
  4. Houd uw PKI-certificaatbeheer Bijgewerkt. Trek certificaten in indien nodig, verwijder oude/ongebruikte certificaten en formuleer een gedocumenteerde procedure voor het verlengen en verlopen van certificaten.

Snelle opmerking over prijzen
Er wordt maandelijks een bedrag van het AWS-account in rekening gebracht $400 voor elke private CA vanaf het moment dat u deze aanmaakt. Er zijn kosten verbonden aan elk certificaat dat u uitgeeft/exporteert (met de bijbehorende private sleutel), met het model "hoe meer u genereert/uitgeeft, hoe minder u betaalt". Zie de ACM-prijzenpagina voor de meest recente prijsinformatie voor private CA's van ACM.
aws.amazon.com/certificate-manager/pricing/ op de AWS-website, aangezien de prijzen van tijd tot tijd kunnen variëren.

Samenvatting

Wilt u uw gegevens end-to-end beveiligen met de zekerheid van een legitieme afzender, dan is het gebruik van Public Key Infrastructure (PKI) een must. Er zijn meerdere PKI-implementaties in omloop met verschillende complexiteitsniveaus. AWS Certificate Manager Private CA biedt dit echter met maximaal gemak en een robuuste infrastructuur die alle voordelen van de cloud biedt, zoals lagere onderhoudskosten, schaalbaarheid, bedrijfscontinuïteit, efficiëntie, flexibiliteit en automatisering van sec-ops.

Ontdek onze

Gerelateerde blogs

Microsoft Azure is een van de drie grootste cloud service providers die organisaties tegenwoordig gebruiken. De andere twee die het meest door organisaties worden gebruikt, zijn Amazon Web Services (AWS) en Google Cloud Platform (GCP). Gezien de huidige situatie verplaatsen veel bedrijven hun diensten naar een gedeeltelijk of volledig cloudgebaseerd platform zoals Azure of AWS.

Hoe kunt u ervoor zorgen dat organisaties meer klachten gaan indienen met Microsoft Azure?

2 februari 2022
Inleiding tot crypto-shredding

Maak kennis met het nieuwe concept van Crypto-Shredding

August 20, 2021

Verschillen tussen AWS KMS Azure Key Vault en GCP KMS

AWS KMS versus Azure Key Vault versus GCP KMS

July 23, 2021

Bestudeer

Meer onderwerpen