Introduktion till AWS Secrets Manager

I dagens värld är det viktigaste för alla säkerhetsexperter att skydda sina data. När informationen väl är skyddad med hjälp av ett dataskyddsverktyg och lösenordsfraser, är nästa utmaning hur man skyddar lösenordsfraserna, lösenorden eller hemligheterna. Det är då du behöver ett program- eller hårdvaruverktyg som kan hjälpa dig att hantera hemligheterna effektivt. AWS Secrets Manager är ett sådant verktyg som kan hantera, hämta och rotera lösenord, databasuppgifter, API-nycklar och andra hemligheter under hela deras livscykel. Det ger den centrala hanteringen av autentiseringsuppgifter bästa möjliga säkerhet, vilket resulterar i att man undviker hårdkodning av autentiseringsuppgifter i koden.

Idag ska vi diskutera AWS Secrets Manager och dess roll i hantering av autentiseringsuppgifter, vilket underlättar några av de kritiska säkerhetsanvändningsfallen.

Egenskaper hos AWS Secrets Manager

AWS Secrets Manager erbjuder olika funktioner för hantering av inloggningsuppgifter, till exempel:

1. Integration med AWS KMS: AWS Secrets Manager är helt integrerad med AWS KMS-tjänsten och krypterar hemligheter som data i vila kryptering med kundens hanterade KMS-nycklar. Medan hemligheterna hämtas, dekrypterar hemligheterna med samma CMK KMS-nycklar som tidigare användes för kryptering och överför hemligheterna säkert till din lokala miljö.
2. Hemlig rotation: Med AWS Secrets Manager kan du uppfylla säkerhets- och efterlevnadskrav enligt din organisations mål. Den ger dig funktionen för rotation av hemligheter på begäran eller schemalagt via AWS management console, AWS SDK eller AWS CLI.
3. Integrering med AWS-databastjänster: AWS Secrets Manager stöder inbyggda AWS-databastjänster som Amazon RDS, Amazon DocumentDB och Amazon Redshift. Det ger dig också möjligheten att rotera andra typer av hemligheter som API-nycklar, OAuth-tokens och andra autentiseringsuppgifter med hjälp av anpassade lambda-funktioner.
4. Innehåller flera versioner av hemligheter: AWS Secrets Manager kan innehålla flera versioner av hemligheter med hjälp av staging-etiketter som bifogas versionen när hemligheterna roteras. Varje hemlighetsversion innehåller en kopia av det krypterade hemlighetsvärdet.
5. Hantera åtkomst med detaljerade policyer:  AWS Secrets Manager ger dig flexibel åtkomsthantering med hjälp av IAM-policyer och resursbaserade policyer. Du kan till exempel hämta hemligheter från din anpassade applikation som körs på EC2 för att ansluta till en specifik databasinstans (on-prem eller molnbaserat).
6. Säkra och granska hemligheter centralt: AWS Secrets Manager är helt integrerad med AWS CloudTrail-tjänsten för loggning och granskning. Till exempel visar AWS CloudTrail API-anrop relaterade till att skapa hemligheten, hämta hemligheten, ta bort hemligheten etc.

Vi har diskuterat några av Secrets Managers egenskaper. Här är de viktigaste punkterna att tänka på när du arbetar med Secrets Manager:

1. Du kan hantera hemligheter för databaser, resurser i On-prem och AWS-molnet, SaaS-applikationer, API-nycklar från tredje part och SSH-nycklar etc.
2. AWS Secrets Manager tillhandahåller efterlevnad av alla större branschstandarder som t.ex. HIPAA, PCI DSS, ISO, FedRAMP, SOC, etc.
3. Hemlighetshanteraren lagrar inte hemligheterna i klartext i permanent lagring.
4. Eftersom Secrets Manager tillhandahåller hemligheterna via den säkra kanalen tillåter den inte någon begäran från någon värd på ett osäkert sätt.
5. Secrets Manager har stöd för AWS-taggfunktionen, så du kan implementera taggbaserad åtkomstkontroll på hemligheter som hanteras av Secrets Manager.
6. För att hålla trafiken säker och utan att passera genom det öppna internet kan du konfigurera en privat slutpunkt i din VPC för att tillåta kommunikation mellan din VPC och Secrets Manager.
7. Secrets Manager tar inte bort hemligheterna omedelbart; istället schemalägger den borttagningen i en period på minst 7 dagar. Inom dessa 7 dagar kan du återställa hemligheterna beroende på dina behov och inom den schemalagda perioden raderas hemligheterna permanent. Men via AWS CLI kan du ta bort alla hemligheter omedelbart.
8. AWS Secrets Manager erbjuder en kostnadseffektiv prismodell där den tar 0.40 USD per hemlighet per månad eller 0.05 USD per 10 000 API-anrop.

Användningsfall för AWS Secrets Manager

1.  Med Secrets Manager slipper du hårdkoda autentiseringsuppgifter eller känslig information i din programkod. Syftet är att ha ett API-anrop till Secrets Manager för att hämta hemligheten programmatiskt. Att ha den här mekanismen på plats hindrar någon från att kompromettera känslig information eller autentiseringsuppgifter eftersom hemlig information inte finns i klartexten i koden.
2. Secrets Manager tillhandahåller centraliserad hantering av autentiseringsuppgifter, vilket minskar den operativa bördan och resulterar i aktiv rotation av autentiseringsuppgifter med jämna mellanrum för att förbättra organisationens säkerhetsställning.

Resurser: https://aws.amazon.com/secrets-manager/pricing/

Slutsats

Hemlighetshantering spelar en avgörande roll i dataskyddet för alla organisationer i alla miljöer (on-prem eller moln). AWS Secrets Manager erbjuder en omfattande uppsättning funktioner när det gäller lösningar för hemlighetshantering. Den stöder en mängd olika hemligheter, såsom databasuppgifter, uppgifter för on-prem-resurser, SaaS-applikationsuppgifter, API-nycklar och SSH-nycklar, etc. I dagens säkerhetsvärld finns det ett antal lösningar för hemlighetshantering tillgängliga. Men med tanke på att AWS Secrets Manager fungerar sömlöst i AWS-miljön, ger den också utmärkt kompatibilitet med andra miljöer (on-prem).