As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles CSPM do Security Hub para CA Privada da AWS

Esses AWS Security Hub CSPM controles avaliam o Autoridade de Certificação Privada da AWS (CA Privada da AWS) serviço e os recursos.

Esses controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Gravidade: baixa

Tipo de recurso: AWS::ACMPCA::CertificateAuthority

Regra do AWS Config: acm-pca-root-ca-disabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se CA Privada da AWS tem uma autoridade de certificação raiz (CA) que está desativada. O controle falhará se a CA raiz estiver habilitada.

ComCA Privada da AWS, você pode criar uma hierarquia de CA que inclua uma CA raiz e uma subordinada CAs. É necessário minimizar o uso da CA raiz para tarefas diárias, especialmente em ambientes de produção. A CA raiz só deve ser usada para emitir certificados intermediários CAs. Isso permite que a CA raiz seja armazenada fora de perigo, enquanto o intermediário CAs executa a tarefa diária de emitir certificados de entidade final.

Correção

Para desabilitar a CA raiz, consulte Atualizar o status da CA no Guia do usuário do Autoridade de Certificação Privada da AWS.

[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Gravidade: baixa

Tipo de recurso: AWS::ACMPCA::CertificateAuthority

Regra do AWS Config: acmpca-certificate-authority-tagged

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se uma autoridade de certificação de CA AWS privada tem tags com as chaves específicas definidas no parâmetrorequiredKeyTags. O controle falhará se a autoridade de certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredKeyTags. Se o parâmetro requiredKeyTags não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a autoridade de certificado não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Definição de permissões baseadas em atributos com autorização do ABAC no Guia do usuário do IAM.

Correção

Para adicionar tags a uma autoridade de CA AWS privada, consulte Adicionar tags para sua CA privada no Guia do Autoridade de Certificação Privada da AWS usuário.