Introductie tot AWS Secrets Manager

Tegenwoordig is het beschermen van uw gegevens de belangrijkste taak voor elke beveiligingsexpert. Zodra de gegevens zijn beschermd met behulp van een gegevensbeschermingstool en wachtwoordzinnen of wachtwoorden, is de volgende uitdaging hoe u de wachtwoordzinnen, wachtwoorden of geheimen zelf kunt beschermen. Dan hebt u een software- of hardwaretool nodig die u kan helpen bij het effectief en efficiënt beheren van de geheimen. AWS Secrets Manager is zo'n tool die wachtwoorden, databasereferenties, API-sleutels en andere geheimen gedurende hun levenscyclus kan beheren, ophalen en wijzigen. Het biedt het centrale beheer van referenties optimale beveiliging, waardoor het hard coderen van referenties in de code wordt vermeden.

Vandaag bespreken we AWS Secrets Manager en de rol ervan bij het beheer van inloggegevens, waarmee enkele cruciale beveiligingstoepassingen worden vergemakkelijkt.

Kenmerken van AWS Secrets Manager

AWS Secrets Manager biedt verschillende functies met betrekking tot het beheer van inloggegevens, zoals:

1. Integratie met AWS KMS: AWS Secrets Manager is volledig geïntegreerd met de AWS KMS-service en versleutelt geheimen als data-at-rest encryptie met de door de klant beheerde KMS-sleutels. Tijdens het ophalen van de geheimen, decodeert de geheimen met behulp van dezelfde CMK KMS-sleutels die eerder voor encryptie werden gebruikt en de geheimen veilig naar uw lokale omgeving worden verzonden.
2. Geheime rotatie: Met AWS Secrets Manager kunt u voldoen aan de beveiligings- en compliancevereisten van uw organisatie. Het biedt u de mogelijkheid om geheimen op aanvraag of volgens een schema te roteren via de AWS-beheerconsole, AWS SDK of AWS CLI.
3. Integratie met AWS-databaseservices: AWS Secrets Manager ondersteunt native AWS-databaseservices zoals Amazon RDS, Amazon DocumentDB en Amazon Redshift. Het biedt u ook de mogelijkheid om andere soorten geheimen, zoals API-sleutels, OAuth-tokens en andere inloggegevens, te roteren met behulp van aangepaste lambdafuncties.
4. Bevat meerdere versies van geheimen: AWS Secrets Manager kan meerdere versies van geheimen bevatten met behulp van staginglabels die aan de versie worden gekoppeld tijdens het roteren van de geheimen. Elke versie van het geheim bevat een kopie van de gecodeerde geheimwaarde.
5. Beheer de toegang met gedetailleerde beleidsregels:  AWS Secrets Manager biedt u flexibel toegangsbeheer met behulp van IAM-beleid en resourcegebaseerd beleid. U kunt bijvoorbeeld geheimen ophalen uit uw aangepaste applicatie die op EC2 draait om verbinding te maken met een specifieke database-instantie (on-premises of in de cloud).
6. Beveilig en controleer geheimen centraal: AWS Secrets Manager is volledig geïntegreerd met de AWS CloudTrail-service voor logging- en auditdoeleinden. AWS CloudTrail toont bijvoorbeeld de API-aanroepen met betrekking tot het aanmaken, ophalen en verwijderen van het geheim, enzovoort.

We hebben enkele kenmerken van de Secrets Manager besproken. Hieronder volgen de belangrijkste punten om in gedachten te houden bij het werken met Secrets Manager:

1. U kunt geheimen beheren voor databases, bronnen in de on-premises en AWS-cloud, SaaS-applicaties, API-sleutels van derden, SSH-sleutels, enzovoort.
2. AWS Secrets Manager voldoet aan alle belangrijke industriestandaarden, zoals HIPAA, PCI DSS, ISO, FedRAMP, SOC, enz.
3. Secrets Manager slaat de geheimen niet op in platte tekst in een permanente opslag.
4. Omdat de Secrets Manager de geheimen via het beveiligde kanaal verstrekt, worden geen verzoeken van welke host dan ook op een onveilige manier toegestaan.
5. Secrets Manager ondersteunt de AWS-tagfunctie, zodat u taggebaseerde toegangscontrole kunt implementeren op geheimen die worden beheerd door de Secrets Manager.
6. Om het verkeer te beveiligen en te voorkomen dat dit via het openbare internet gaat, kunt u een privé-eindpunt in uw VPC configureren om communicatie tussen uw VPC en Secrets Manager mogelijk te maken.
7. Secrets Manager verwijdert de geheimen niet onmiddellijk, maar plant de verwijdering in voor een periode van minimaal 7 dagen. Binnen die 7 dagen kunt u de geheimen herstellen, afhankelijk van uw vereisten en na de geplande periode; de ​​geheimen worden permanent verwijderd. Via de AWS CLI kunt u echter alle geheimen onmiddellijk verwijderen.
8. AWS Secrets Manager biedt een kosteneffectief prijsmodel waarbij $ 0.40 per geheim per maand of $ 0.05 per 10 API-aanroepen in rekening wordt gebracht.

Gebruiksscenario's voor AWS Secrets Manager

1.  Met Secrets Manager hoeft u de inloggegevens of gevoelige informatie niet hard te coderen in uw applicatiecode. Het dient als een API-aanroep naar de Secrets Manager om het geheim programmatisch op te halen. Dit mechanisme voorkomt dat gevoelige informatie of inloggegevens in gevaar komen, omdat geheime informatie niet in de platte tekst van de code staat.
2. Secrets Manager biedt gecentraliseerd beheer van inloggegevens, waardoor de operationele last wordt verminderd. Dit resulteert in de actieve rotatie van inloggegevens op regelmatige tijdstippen om de beveiliging van de organisatie te verbeteren.

Bronnen: https://aws.amazon.com/secrets-manager/pricing/

Conclusie

Geheimbeheer speelt een cruciale rol in de gegevensbescherming van elke organisatie, in elke omgeving (on-premises of in de cloud). AWS Secrets Manager biedt een uitgebreide functionaliteit op het gebied van oplossingen voor geheimbeheer. Het ondersteunt een breed scala aan geheimen, zoals databasereferenties, referenties voor on-premises resources, referenties voor SaaS-applicaties, API-sleutels, SSH-sleutels, enzovoort. In de huidige beveiligingswereld zijn er diverse oplossingen voor geheimbeheer beschikbaar. Aangezien AWS Secrets Manager naadloos werkt in de AWS-omgeving, biedt het echter ook uitstekende compatibiliteit met andere omgevingen (on-premises).