As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub paraGerenciador de certificados da AWS
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos Gerenciador de certificados da AWS (ACM). Os controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[ACM.1] Importado e ACM-issued os certificados devem ser renovados após um período de tempo especificado
Requisitos relacionados: NIST.800-53.r5 SC-28 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.r2 3.13.15, PCI DSS v4.0. 1/4.2.1
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::ACM::Certificate
Regra do AWS Config: acm-certificate-expiration-check
Tipo de agendamento: acionado por alterações e periódico
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
Número de dias em que o certificado ACM deve ser renovado |
Inteiro |
|
|
Esse controle verifica se um certificado Gerenciador de certificados da AWS (ACM) é renovado dentro do período de tempo especificado. Ele verifica os certificados importados e os certificados fornecidos pelo ACM. O controle falhará se o certificado não for renovado dentro do período especificado. A menos que você forneça um valor de parâmetro personalizado para o período de renovação, o Security Hub CSPM usa um valor padrão de 30 dias.
O ACM renova automaticamente os certificados que usam validação do DNS. Para os certificados que usam validação de email, é necessário responder a um email de validação de domínio. O ACM não renovará automaticamente os certificados que você importar. É necessário renovar certificados importados manualmente.
Correção
O ACM fornece renovação gerenciada para seus SSL/TLS certificados emitidos pela Amazon. Isso significa que o ACM renovará seus certificados automaticamente (se você estiver usando a validação por DNS) ou enviará avisos por e-mail quando a expiração da validade estiver se aproximando. Esses serviços são fornecidos para certificados públicos e privados do ACM.
- Para domínios validados por e-mail
-
Quando um certificado está a 45 dias da expiração, o ACM envia ao proprietário do domínio um e-mail para cada nome de domínio. Para validar os domínios e concluir a renovação, é necessário responder às notificações por e-mail.
Para obter mais informações, consulte Renovação de domínios validados por e-mail no Guia do usuário do Gerenciador de certificados da AWS.
- Para domínios validados por DNS
-
O ACM renova automaticamente os certificados que usam a validação de DNS. 60 dias antes da expiração, o ACM verifica se o certificado pode ser renovado.
Se não puder validar um nome de domínio, o ACM enviará uma notificação de que a validação manual é necessária. O envia essas notificações 45 dias, 30 dias, 7 dias e 1 dia antes da expiração da validade.
Para obter mais informações, consulte Renovação de domínios validados pelo DNS no Guia do usuário do Gerenciador de certificados da AWS.
[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits
Requisitos relacionados: PCI DSS v4.0. 1/4.2.1
Categoria: Identificar > Inventário > Serviços de inventário
Gravidade: alta
Tipo de recurso: AWS::ACM::Certificate
Regra do AWS Config: acm-certificate-rsa-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os certificados RSA gerenciados por Gerenciador de certificados da AWS usam um comprimento de chave de pelo menos 2.048 bits. O controle falhará se o comprimento da chave for menor que 2.048 bits.
A força da criptografia se correlaciona diretamente com o tamanho da chave. Recomendamos tamanhos de chave de pelo menos 2.048 bits para proteger seus AWS recursos à medida que a capacidade de computação se torna mais barata e os servidores se tornam mais avançados.
Correção
O tamanho mínimo da chave para certificados RSA emitidos pelo ACM já é de 2.048 bits. Para obter instruções sobre a emissão de novos certificados RSA com o ACM, consulte Emissão e gerenciamento de certificados no Guia do usuário do Gerenciador de certificados da AWS.
Embora o ACM permita importar certificados com tamanhos de chave mais curtos, é necessário usar chaves de pelo menos 2.048 bits para passar por esse controle. Não é possível alterar o tamanho da chave após a importação de um certificado. Em vez disso, é necessário excluir certificados com um tamanho de chave menor que 2.048 bits. Para obter mais informações sobre a importação de certificados para o ACM, consulte Pré-requisitos para importação de certificados no Guia do usuário do Gerenciador de certificados da AWS.
[ACM.3] Os certificados ACM devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::ACM::Certificate
AWS Configregra: tagged-acm-certificate (regra CSPM personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se um certificado Gerenciador de certificados da AWS (ACM) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitosServiços da AWS, inclusiveAWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um certificado ACM, consulte Como marcar Gerenciador de certificados da AWS certificados no Guia do Gerenciador de certificados da AWSusuário.