SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan

Sertifikat Keamanan Lapisan Pengangkutan (TLS) digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web, sumber daya, dan beban kerja di internet, serta jaringan privat.

Hasil yang diinginkan: Sistem manajemen sertifikat aman yang dapat menyediakan, men-deploy, menyimpan, dan memperpanjang sertifikat di dalam infrastruktur kunci publik (PKI). Mekanisme manajemen kunci dan sertifikat yang aman mencegah pengungkapan materi kunci privat sertifikat dan secara otomatis memperpanjang sertifikat secara berkala. Mekanisme ini juga terintegrasi dengan layanan lain untuk menyediakan komunikasi jaringan yang aman dan identitas untuk sumber daya mesin di dalam beban kerja Anda. Materi kunci tidak boleh diakses oleh identitas manusia.

Antipola umum:

• Melakukan langkah-langkah manual selama proses deployment atau perpanjangan sertifikat.

• Kurang memperhatikan hierarki otoritas sertifikat (CA) saat merancang CA privat.

• Menggunakan sertifikat yang ditandatangani sendiri untuk sumber daya publik.

Manfaat menjalankan praktik terbaik ini:

• Sederhanakan manajemen sertifikat melalui deployment dan perpanjangan otomatis

• Dorong enkripsi data bergerak menggunakan sertifikat TLS

• Peningkatan keamanan dan auditabilitas tindakan sertifikat yang dilakukan oleh otoritas sertifikat

• Manajemen tugas-tugas manajemen di berbagai lapisan hierarki CA

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Beban kerja modern banyak memanfaatkan komunikasi jaringan terenkripsi menggunakan protokol PKI seperti TLS. Manajemen sertifikat PKI mungkin kompleks, tetapi penyediaan, deployment, dan perpanjangan sertifikat secara otomatis dapat mengurangi gesekan yang berkaitan dengan manajemen sertifikat.

AWS menyediakan dua layanan untuk mengelola sertifikat PKI tujuan umum: AWS Certificate Manager dan AWS Private Certificate Authority (AWS Private CA). ACM adalah layanan primer yang digunakan oleh pelanggan untuk menyediakan, mengelola, dan melakukan deployment sertifikat untuk digunakan di beban kerja publik maupun AWS privat. ACM mengeluarkan sertifikat menggunakan AWS Private CA dan terintegrasi dengan banyak layanan terkelola AWS lainnya untuk menyediakan sertifikat TLS yang aman untuk beban kerja.

Dengan AWS Private CA, Anda dapat membuat otoritas sertifikat root atau subordinat Anda sendiri dan menerbitkan sertifikat TLS melalui API. Anda dapat menggunakan jenis-jenis sertifikat ini dalam skenario di mana Anda mengontrol dan mengelola rantai kepercayaan pada sisi klien koneksi TLS. Selain kasus penggunaan TLS, AWS Private CA dapat digunakan untuk menerbitkan sertifikat ke pod Kubernetes, atestasi produk perangkat Matter, penandatanganan kode, dan kasus penggunaan lain dengan templat kustom. Anda juga dapat menggunakan IAM Roles Anywhere untuk memberikan kredensial IAM sementara ke beban kerja on-premise yang telah diberikan sertifikat X.509 yang ditandatangani oleh CA Privat Anda.

Selain ACM dan AWS Private CA, AWS IoT Core memberikan dukungan khusus untuk penyediaan, manajemen, dan deployment sertifikat PKI ke perangkat IoT. AWS IoT Core menyediakan mekanisme khusus untuk memasukkan perangkat IoT ke dalam infrastruktur kunci publik Anda dalam skala besar.

Pertimbangan untuk membangun hierarki CA privat

Ketika Anda perlu membuat CA privat, penting untuk berhati-hati dalam merancang hierarki CA dengan benar di awal. Salah satu praktik terbaiknya adalah men-deploy setiap tingkat hierarki CA Anda ke dalam Akun AWS yang terpisah saat membuat hierarki CA privat. Langkah sengaja ini mengurangi luas permukaan untuk setiap tingkat di dalam hierarki CA, sehingga mempermudah penemuan anomali dalam data log CloudTrail dan mengurangi ruang lingkup akses atau dampak jika terdapat akses tidak sah ke salah satu akun. CA root harus berada di akun terpisahnya sendiri dan hanya boleh digunakan untuk menerbitkan satu atau beberapa sertifikat CA perantara.

Kemudian, buat satu atau beberapa CA perantara di akun yang terpisah dari akun CA root untuk menerbitkan sertifikat bagi pengguna akhir, perangkat, atau beban kerja lainnya. Terakhir, terbitkan sertifikat dari CA root Anda ke CA perantara, yang pada gilirannya akan menerbitkan sertifikat kepada pengguna akhir atau perangkat Anda. Untuk informasi selengkapnya tentang perencanaan deployment CA dan perancangan hierarki CA, termasuk perencanaan ketahanan, replikasi lintas wilayah, berbagi CA di seluruh organisasi, dan lainnya, lihat Merencanakan deployment AWS Private CA Anda.

Langkah implementasi

1. Tentukan layanan AWS relevan yang diperlukan untuk kasus penggunaan Anda:

   • Banyak kasus penggunaan dapat memanfaatkan infrastruktur kunci publik AWS yang sudah ada dengan menggunakan AWS Certificate Manager. ACM dapat digunakan untuk melakukan deployment sertifikat TLS untuk server web, penyeimbang beban, atau penggunaan lain untuk sertifikat yang dipercaya secara publik.

   • Pertimbangkan AWS Private CA ketika Anda perlu membuat hierarki otoritas sertifikat privat Anda sendiri atau memerlukan akses ke sertifikat yang dapat diekspor. ACM kemudian dapat digunakan untuk menerbitkan banyak jenis sertifikat entitas akhir menggunakan AWS Private CA.

   • Untuk kasus penggunaan di mana sertifikat harus disediakan dalam skala besar untuk perangkat Internet untuk Segala (IoT) yang disematkan, pertimbangkan AWS IoT Core.

2. Implementasikan perpanjangan sertifikat otomatis jika memungkinkan:

   • Gunakan perpanjangan yang dikelola ACM untuk sertifikat yang diterbitkan oleh ACM bersama dengan layanan terkelola AWS yang terintegrasi.

3. Bangun jalur pencatatan dan audit:

   • Aktifkan log CloudTrail untuk melacak akses ke akun yang memiliki otoritas sertifikat. Pertimbangkan mengonfigurasi validasi integritas file log di CloudTrail untuk memverifikasi keaslian data log.

   • Buat dan tinjau secara berkala laporan audit yang mencantumkan sertifikat yang telah diterbitkan atau dicabut oleh CA privat Anda. Laporan ini dapat diekspor ke bucket S3.

   • Saat men-deploy CA pribadi, Anda juga perlu membuat bucket S3 untuk menyimpan Daftar Pencabutan Sertifikat (CRL). Untuk panduan mengonfigurasi bucket S3 ini berdasarkan persyaratan beban kerja Anda, lihat Merencanakan daftar pencabutan sertifikat (CRL).

Sumber daya

Praktik terbaik terkait:

• SEC02-BP02 Menggunakan kredensial sementara

• SEC08-BP01 Mengimplementasikan manajemen kunci yang aman

• SEC09-BP03 Autentikasikan komunikasi jaringan

Dokumen terkait:

• Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS.

• Cara mengamankan hierarki CA Privat ACM skala korporasi untuk otomotif dan manufaktur

• Praktik terbaik CA privat

• Cara menggunakan AWS RAM untuk membagikan CA Privat ACM Anda lintas akun

Video terkait:

• Mengaktifkan CA Privat AWS Certificate Manager (lokakarya)

Contoh terkait:

• Lokakarya CA privat

• Lokakarya Manajemen Perangkat IOT (termasuk penyediaan perangkat)

Alat terkait:

• Plugin ke Kubernetes cert-manager untuk menggunakan AWS Private CA