Secrets Manager 的 Security Hub CSPM 控制項 - AWSSecurity Hub
【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換【SecretsManager.2] 使用自動輪換設定的 Secrets Manager 秘密應能成功輪換【SecretsManager.3] 移除未使用的 Secrets Manager 秘密【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換【SecretsManager.5] Secrets Manager 秘密應加上標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Secrets Manager 的 Security Hub CSPM 控制項

這些AWS Security Hub CSPM控制項會評估 AWS Secrets Manager服務和資源。

這些控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換

相關要求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

類別:保護 > 安全開發

嚴重性:

資源類型: AWS::SecretsManager::Secret

AWS Config 規則:secretsmanager-rotation-enabled-check

排程類型:已觸發變更

參數:

參數 說明 Type 允許自訂值 Security Hub CSPM 預設值

maximumAllowedRotationFrequency

允許秘密輪換頻率的天數上限

Integer

1365

無預設值

此控制項AWS Secrets Manager會檢查存放在 中的秘密是否已設定自動輪換。如果未使用自動輪換設定秘密,則控制項會失敗。如果您為 maximumAllowedRotationFrequency 參數提供自訂值,則只有在指定的時段內自動輪換秘密時,控制項才會通過。

Secrets Manager 可協助您改善組織的安全狀態。秘密包括資料庫登入資料、密碼和第三方 API 金鑰。您可以使用 Secrets Manager 集中存放秘密、自動加密秘密、控制對秘密的存取,以及安全自動輪換秘密。

Secrets Manager 可以輪換秘密。您可以使用輪換將長期秘密取代為短期秘密。輪換您的秘密會限制未經授權的使用者使用洩露秘密的時間長度。因此,您應該經常輪換秘密。若要進一步了解輪換,請參閱AWS Secrets Manager《 使用者指南》中的輪換您的AWS Secrets Manager秘密

修補

若要開啟 Secrets Manager 秘密的自動輪換,請參閱AWS Secrets Manager《 使用者指南》中的使用主控台設定AWS Secrets Manager秘密的自動輪換。您必須選擇並設定 AWS Lambda函數以進行輪換。

【SecretsManager.2] 使用自動輪換設定的 Secrets Manager 秘密應能成功輪換

相關要求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

類別:保護 > 安全開發

嚴重性:

資源類型: AWS::SecretsManager::Secret

AWS Config 規則:secretsmanager-scheduled-rotation-success-check

排程類型:已觸發變更

參數:

此控制項會根據輪換排程檢查AWS Secrets Manager秘密是否已成功輪換。如果 RotationOccurringAsScheduled為 ,則控制項會失敗false。控制項只會評估已開啟輪換的秘密。

Secrets Manager 可協助您改善組織的安全狀態。秘密包括資料庫登入資料、密碼和第三方 API 金鑰。您可以使用 Secrets Manager 集中存放秘密、自動加密秘密、控制對秘密的存取,以及安全自動輪換秘密。

Secrets Manager 可以輪換秘密。您可以使用輪換將長期秘密取代為短期秘密。輪換您的秘密會限制未經授權的使用者使用洩露秘密的時間長度。因此,您應該經常輪換秘密。

除了將秘密設定為自動輪換之外,您也應該確保這些秘密會根據輪換排程成功輪換。

若要進一步了解輪換,請參閱AWS Secrets Manager《 使用者指南》中的輪換您的AWS Secrets Manager秘密

修補

如果自動輪換失敗,則 Secrets Manager 可能遇到組態錯誤。若要在 Secrets Manager 中輪換秘密,您可以使用 Lambda 函數來定義如何與擁有秘密的資料庫或服務互動。

如需診斷和修正與秘密輪換相關的常見錯誤的說明,請參閱AWS Secrets Manager《 使用者指南》中的對秘密AWS Secrets Manager輪換進行故障診斷

【SecretsManager.3] 移除未使用的 Secrets Manager 秘密

相關需求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::SecretsManager::Secret

AWS Config 規則:secretsmanager-secret-unused

排程類型:定期

參數:

參數 說明 Type 允許自訂值 Security Hub CSPM 預設值

unusedForDays

秘密可保持未使用的天數上限

Integer

1365

90

此控制項會檢查是否已在指定的時間範圍內存取AWS Secrets Manager秘密。如果秘密在指定的時間範圍內未使用,則控制項會失敗。除非您提供存取期間的自訂參數值,否則 Security Hub CSPM 會使用預設值 90 天。

刪除未使用的秘密與輪換秘密一樣重要。未使用的秘密可能會被前使用者濫用,他們不再需要存取這些秘密。此外,隨著更多使用者可以存取秘密,有人可能會不當處理秘密並將其洩漏給未經授權的實體,進而增加濫用的風險。刪除未使用的秘密有助於撤銷不再需要秘密的使用者對秘密的存取。它也有助於降低使用 Secrets Manager 的成本。因此,定期刪除未使用的秘密至關重要。

修補

若要刪除非作用中的 Secrets Manager 秘密,請參閱AWS Secrets Manager《 使用者指南》中的刪除AWS Secrets Manager秘密

【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換

相關要求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::SecretsManager::Secret

AWS Config 規則:secretsmanager-secret-periodic-rotation

排程類型:定期

參數:

參數 說明 Type 允許自訂值 Security Hub CSPM 預設值

maxDaysSinceRotation

秘密可以保持不變的天數上限

Integer

1180

90

此控制項會檢查AWS Secrets Manager秘密是否在指定的時間範圍內至少輪換一次。如果至少此頻率未輪換秘密,則控制項會失敗。除非您提供輪換期間的自訂參數值,否則 Security Hub CSPM 會使用預設值 90 天。

輪換秘密可協助您降低在 中未經授權使用秘密的風險AWS 帳戶。範例包括資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。如果您長時間不變更秘密,則秘密更有可能遭到入侵。

隨著更多使用者可以存取秘密,有人可能會不當處理秘密並將其洩漏給未經授權的實體。秘密可以透過日誌和快取資料洩漏。它們可以針對除錯目的共用,而在除錯完成之後未變更或撤銷。由於上述所有原因,秘密應該經常輪換。

您可以為 中的秘密設定自動輪換AWS Secrets Manager。透過自動輪換,您可以將長期秘密取代為短期秘密,大幅降低入侵的風險。建議您為 Secrets Manager 秘密設定自動輪換。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的輪換 AWS Secrets Manager 密碼

修補

若要開啟 Secrets Manager 秘密的自動輪換,請參閱AWS Secrets Manager《 使用者指南》中的使用主控台設定AWS Secrets Manager秘密的自動輪換。您必須選擇並設定 AWS Lambda函數以進行輪換。

【SecretsManager.5] Secrets Manager 秘密應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::SecretsManager::Secret

AWS Configrule:tagged-secretsmanager-secret(自訂 Security Hub CSPM 規則)

排程類型:已觸發變更

參數:

參數 說明 Type 允許自訂值 Security Hub CSPM 預設值
requiredTagKeys 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 StringList (最多 6 個項目) 1–6 個符合AWS要求的標籤金鑰。 No default value

此控制項會檢查AWS Secrets Manager秘密是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果秘密沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果秘密未標記任何索引鍵,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。

標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的什麼是 ABACAWS?

注意

請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考

修補

若要將標籤新增至 Secrets Manager 秘密,請參閱AWS Secrets Manager《 使用者指南》中的標籤AWS Secrets Manager秘密