Security Hub-Steuerungen für AWS KMS

Diese AWS Security Hub Kontrollen bewerten den AWS Key Management Service (AWS KMS) Dienst und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::IAM::Policy

AWS Config -Regel: iam-customer-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

• blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

• excludePermissionBoundaryPolicy: True (nicht anpassbar)

Überprüft, ob die Standardversion der vom Kunden verwalteten IAM-Richtlinien es Prinzipalen erlaubt, die AWS KMS Entschlüsselungsaktionen für alle Ressourcen zu verwenden. Die Steuerung schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle kms:Decrypt KMS-Schlüssel zuzulassen.

Das Steuerelement überprüft nur KMS-Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie. Darüber hinaus bewertet das Steuerelement sowohl angehängte als auch nicht verknüpfte, vom Kunden verwaltete Richtlinien. Inline-Richtlinien oder AWS verwaltete Richtlinien werden nicht geprüft.

Damit kontrollieren Sie AWS KMS, wer Ihre KMS-Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAM-Richtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die kms:ReEncryptFrom Berechtigungen kms:Decrypt oder und nur die Schlüssel gewähren, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt Berechtigungen für alle Schlüssel zu gewähren, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS-Schlüssel. Erlauben Sie stattdessen kms:Decrypt nur Schlüssel in einer bestimmten Region für Ihr Konto. Durch die Anwendung des Prinzips der geringsten Rechte können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer vom Kunden verwalteten IAM-Richtlinie finden Sie unter Bearbeiten von kundenverwalteten Richtlinien im IAM-Benutzerhandbuch. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource:

• AWS::IAM::Group

• AWS::IAM::Role

• AWS::IAM::User

AWS Config -Regel: iam-inline-policy-blocked-kms-actions

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

• blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(nicht anpassbar)

Dieses Steuerelement prüft, ob die in Ihre IAM-Identitäten (Rolle, Benutzer oder Gruppe) eingebetteten Inline-Richtlinien die AWS KMS Entschlüsselung und erneute Verschlüsselung aller KMS-Schlüssel zulassen. Die Steuerung schlägt fehl, wenn die Richtlinie offen genug ist, um kms:ReEncryptFrom Aktionen für alle kms:Decrypt KMS-Schlüssel zuzulassen.

Das Steuerelement überprüft nur KMS-Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie.

Mit steuern Sie AWS KMS, wer Ihre KMS-Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAM-Richtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die Berechtigungen gewähren, die sie benötigen, und nur für Schlüssel, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt die Erlaubnis für alle Schlüssel zu erteilen, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es den Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die kms:Decrypt Erlaubnis für alle KMS-Schlüssel. Erlauben Sie die Erlaubnis stattdessen nur für bestimmte Schlüssel in einer bestimmten Region für Ihr Konto. Indem Sie das Prinzip der geringsten Rechte anwenden, können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

Abhilfe

Informationen zum Ändern einer IAM-Inline-Richtlinie finden Sie unter Bearbeiten von Inline-Richtlinien im IAM-Benutzerhandbuch. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das Resource Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

[KMS.3] AWS KMS keys sollte nicht versehentlich gelöscht werden

Verwandte Anforderungen: NIST.800-53.r5 SC-1 2, 2 ( NIST.800-53.r5 SC-12)

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Schweregrad: Kritisch

Art der Ressource: AWS::KMS::Key

AWS Config Regel: kms-cmk-not-scheduled-for-deletion-2 (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Löschung von KMS-Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn das Löschen eines KMS-Schlüssels geplant ist.

KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Mit einem KMS-Schlüssel verschlüsselte Daten können auch dauerhaft nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn aussagekräftige Daten unter einem KMS-Schlüssel verschlüsselt wurden, der gelöscht werden soll, sollten Sie erwägen, die Daten zu entschlüsseln oder die Daten erneut mit einem neuen KMS-Schlüssel zu verschlüsseln, sofern Sie nicht absichtlich eine kryptografische Löschung durchführen.

Wenn das Löschen eines KMS-Schlüssels geplant ist, wird eine obligatorische Wartezeit durchgesetzt, damit genügend Zeit zur Verfügung steht, um den Löschvorgang rückgängig zu machen, falls er versehentlich geplant wurde. Die Standardwartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS-Schlüssel gelöscht werden soll. Während der Wartezeit kann das geplante Löschen abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter Löschen von KMS-Schlüsseln im AWS Key Management Service Entwicklerhandbuch.

Abhilfe

Informationen zum Abbrechen einer geplanten Löschung von KMS-Schlüsseln finden Sie im AWS Key Management Service Entwicklerhandbuch unter So brechen Sie das Löschen von Schlüsseln ab (Konsole) unter So brechen Sie das Löschen von Schlüsseln ab.

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/3.6, CIS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2 ( NIST.800-53.r5 SC-12), 8 (3), PCI DSS v3.2.1/3.6.4, NIST.800-53.r5 SC-1 PCI DSS v4.0.1/3.7.4 AWS NIST.800-53.r5 SC-2

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::KMS::Key

AWS Config -Regel: cmk-backing-key-rotation-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

AWS KMS ermöglicht Kunden die Rotation des Backing-Schlüssels, bei dem es sich um Schlüsselmaterial handelt, das im KMS-Schlüssel gespeichert ist AWS KMS und mit der Schlüssel-ID des KMS-Schlüssels verknüpft ist. Der Unterstützungsschlüssel wird zum Durchführen kryptografischer Vorgänge wie z. B. Ver- und Entschlüsselungen verwendet. Die automatische Schlüsselrotation speichert derzeit alle vorherigen Unterstützungsschlüssel, sodass eine transparente Entschlüsselung verschlüsselter Daten erfolgen kann.

CIS empfiehlt, die KMS-Schlüsselrotation zu aktivieren. Das Rotieren der Verschlüsselungsschlüssel trägt zur Verringerung der potenziellen Auswirkungen eines kompromittierten Schlüssels bei, da der Zugriff auf mit einem neuen Schlüssel verschlüsselte Daten mit einem vorherigen Schlüssel, der möglicherweise kompromittiert wurde, nicht möglich ist.

Abhilfe

Informationen zur Aktivierung der KMS-Schlüsselrotation finden Sie unter So aktivieren und deaktivieren Sie die automatische Schlüsselrotation im AWS Key Management Service Entwicklerhandbuch.

[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Kritisch

Art der Ressource: AWS::KMS::Key

AWS Config -Regel: kms-key-policy-no-public-access

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dadurch wird geprüft, ob ein öffentlich zugänglich AWS KMS key ist. Die Steuerung schlägt fehl, wenn der KMS-Schlüssel öffentlich zugänglich ist.

Die Implementierung des Zugriffs mit den geringsten Rechten ist von grundlegender Bedeutung, um das Sicherheitsrisiko und die Auswirkungen von Fehlern oder böswilligen Absichten zu verringern. Wenn die Schlüsselrichtlinie für ein den Zugriff von externen Konten aus AWS KMS key zulässt, können Dritte möglicherweise Daten mithilfe des Schlüssels ver- und entschlüsseln. Dies könnte dazu führen, dass eine interne oder externe Bedrohung Daten aus dem System herausfiltert, AWS-Services das den Schlüssel verwendet.

Anmerkung

Dieses Steuerelement gibt auch ein FAILED Ergebnis zurück, AWS KMS key wenn Ihre Konfigurationen AWS Config verhindern, dass die Schlüsselrichtlinie im Konfigurationselement (CI) für den KMS-Schlüssel aufgezeichnet wird. Damit die Schlüsselrichtlinie im CI für AWS Config den KMS-Schlüssel aufgefüllt werden kann, muss die AWS Config Rolle Zugriff haben, um die Schlüsselrichtlinie mithilfe des GetKeyPolicyAPI-Aufrufs lesen zu können. Um diese Art von Problem zu behebenFAILED, überprüfen Sie die Richtlinien, die verhindern können, dass die AWS Config Rolle Lesezugriff auf die Schlüsselrichtlinie für den KMS-Schlüssel hat. Überprüfen Sie beispielsweise Folgendes:

• Die Schlüsselrichtlinie für den KMS-Schlüssel.

• Die darin enthaltenen Dienststeuerungsrichtlinien (SCPs) und Ressourcensteuerungsrichtlinien (RCPs) gelten für Ihr Konto. AWS Organizations

• Berechtigungen für die AWS Config Rolle, wenn Sie die AWS Config dienstverknüpfte Rolle nicht verwenden.

Abhilfe

Informationen zur Aktualisierung der Schlüsselrichtlinie für eine AWS KMS key finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.