공유된 디바이스 인증서 - AWS IoT Device Defender
Details이것이 중요한 이유수정 방법

공유된 디바이스 인증서

다중 동시 연결은 동일한 X.509 인증서를 사용하여 AWS IoT에서 인증됩니다.

이 점검은 CLI 및 API에서 DEVICE_CERTIFICATE_SHARED_CHECK와(과) 같이 나타납니다.

심각도: 심각

Details

온디맨드 감사의 일부로 이 점검을 수행하면 해당 점검에서는 점검이 실행되기 최대 2시간 전까지 감사 시작 전 31일 동안 디바이스에서 연결하기 위해 사용한 인증서 및 클라이언트 ID를 확인합니다. 예정된 감사의 경우 이 검사는 감사의 마지막 실행 2시간 전부터 감사의 이 인스턴스 시작 2시간 전까지의 데이터를 확인합니다. 점검된 시간 동안 이 상태를 완화하는 단계를 수행한 경우 문제가 지속되는지 여부를 확인하기 위해 동시 연결이 발생한 시기를 기록해 둡니다.

이 점검에서 규정 미준수 인증서가 발견된 경우 다음 사유 코드가 반환됩니다.

  • CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES

또한, 이 점검에서 반환되는 결과에는 공유 인증서의 ID, 인증서를 사용하여 연결한 클라이언트의 ID 및 연결/연결 해제 횟수가 포함됩니다. 가장 최근 결과가 먼저 나열됩니다.

이것이 중요한 이유

각 디바이스에는 AWS IoT 인증을 위한 고유한 인증서가 있어야 합니다. 여러 디바이스에서 동일한 인증서가 사용되는 경우 이는 디바이스 하나가 손상되었음을 나타내는 것일 수 있습니다. 해당 자격 증명이 복제되어 향후 시스템을 손상시킬 수 있습니다.

수정 방법

디바이스 인증서가 손상되지 않았는지 확인합니다. 손상되었다면 보안 모범 사례를 따라 상황을 완화시킵니다.

여러 디바이스에 동일한 인증서를 사용하는 경우 다음을 수행할 수 있습니다.

  1. 고유한 새 인증서를 프로비저닝하고 각 디바이스에 연결합니다.

  2. 새 인증서가 유효하고 디바이스가 해당 인증서를 사용하여 연결할 수 있는지 확인합니다.

  3. UpdateCertificate을 사용하여 이전 인증서를 AWS IoT에서 취소됨(REVOKED)으로 표시합니다. 완화 작업을 사용하여 다음을 수행할 수도 있습니다.

    • 이 변경사항을 실행하려면 감사 결과에서 UPDATE_DEVICE_CERTIFICATE 완화 작업을 적용합니다.

    • 조치를 취할 수 있는 그룹에 디바이스를 추가하려면 ADD_THINGS_TO_THING_GROUP 완화 조치를 적용합니다.

    • Amazon SNS 메시지에 대해 사용자 지정 응답을 구현하려면 PUBLISH_FINDINGS_TO_SNS 완화 작업을 적용합니다.

    자세한 내용은 완화 작업 단원을 참조하세요.

  4. 각 디바이스에서 이전 인증서를 분리합니다.