Vše, co potřebujete vědět [2023]

autor:
Tweet
Share
Share
Pin

Zabezpečte svá data s AWS Secrets Manager

AWS Secrets Manager je nástroj, který vám poskytuje bezpečné úložiště pro veškerá vaše citlivá data, hesla a další tajné informace.

V dnešní době se kybernetické útoky stávají stále častějšími a sofistikovanějšími. Jejich cílem je krádež důvěrných informací a finanční prostředků, což může mít pro organizace devastující následky.

Proto je zásadní používat spolehlivé služby, jako je právě Secrets Manager, které dokážou vaše data efektivně ochránit.

V tomto článku se podrobně podíváme na to, co AWS Secrets Manager nabízí a jaké výhody vám může přinést.

Pojďme na to!

Co je AWS Secrets Manager?

AWS Secrets Manager je nástroj určený ke správě, rotaci a získávání vašich citlivých informací, jako jsou hesla, API klíče, přihlašovací údaje k databázím a aplikacím. Tento proces zahrnuje celý životní cyklus těchto dat.

Tajnými informacemi zde rozumíme důvěrná a cenná data vaší organizace, která vyžadují bezpečné uložení. Může jít o přihlašovací údaje (uživatelské jméno a heslo), OAuth tokeny, AWS pověření, SSH klíče, šifrovací klíče, certifikáty a privátní klíče a další.

Primárním cílem AWS Secrets Manager je spravovat a chránit data používaná pro přístup k IT zdrojům, službám, aplikacím a systémům. Díky centralizovanému úložišti je přístup pro autorizované uživatele snadný a eliminuje potřebu komplikovaného kódování.

AWS Secrets Manager umožňuje rotaci tajných klíčů v rámci různých služeb AWS, jako jsou Redshift, RDS a DocumentDB. To zajišťuje neustálou aktualizaci klíčů a přihlašovacích údajů napříč těmito službami. Rotaci můžete provádět na vyžádání nebo dle plánu pomocí konzole, sady AWS SDK nebo rozhraní AWS CLI.

Kromě toho AWS Secrets Manager poskytuje pokročilé šifrování pro maximální ochranu vašich dat. Sledování a auditování vašich chráněných informací je také snadné díky různým dostupným integracím.

Mezi jeho hlavní uživatele patří velké podniky a softwarové společnosti.

Klíčové funkce AWS Secrets Manager

#1. Úložiště a správa tajných informací

Secrets Manager není jen úložiště, ale také efektivní nástroj pro správu vašich tajných informací. Umožňuje provádět různé akce:

  • Vytváření nových tajných informací a databází
  • Úprava stávajících tajných informací
  • Vyhledávání tajných informací
  • Odstraňování nepotřebných tajných informací
  • Obnovení smazaných nebo ztracených tajných informací
  • Replikace tajných informací do jiné AWS oblasti
  • Promování replikované tajné informace na samostatnou tajnou informaci v AWS Secrets Manager

Po vytvoření účtu v Amazon Aurora, Amazon RDS, Amazon DocumentDB nebo Amazon Redshift můžete uložit své přihlašovací údaje přímo do platformy. Můžete tak učinit pomocí konzole Secrets Manager, AWS SDK nebo AWS CLI.

#2. Robustní zabezpečení

AWS Secrets Manager využívá silné šifrování k ochraně všech vašich tajných informací před neautorizovaným přístupem. Vaše data jsou šifrována pomocí klíčů z AWS Key Management Service (KMS).

Secrets Manager integruje AWS Identity and Access Management (IAM), aby zajistil bezpečný přístup uživatelů k jejich tajným informacím. Nabízí pokročilé možnosti řízení přístupu a ověřování.

  • Autentizace slouží k ověření identity uživatele, který provádí požadavek. Identifikace probíhá prostřednictvím přihlašovacího procesu, který vyžaduje tokeny, přístupové klíče a hesla pro vícefaktorovou autentizaci (MFA).
  • Řízení přístupu zajišťuje, aby oprávnění uživatelé mohli provádět pouze specifické operace s tajnými informacemi.

Secrets Manager také používá zásady, které definují, kteří uživatelé mají přístup ke konkrétním zdrojům a jaké akce mohou provádět. Umožňuje vám využít AWS IAM Roles Anywhere pro získání dočasných pověření pro servery, aplikace a další pracovní zátěže, které nejsou nativně spuštěny v AWS.

Můžete tak povolit stejné role a zásady IAM, které jste vytvořili pro aplikace AWS, pro přístup k vašim prostředkům v AWS i v lokálních zařízeních (např. aplikačních serverech).

#3. Rotace tajných informací

AWS Secrets Manager umožňuje automatickou rotaci tajných informací podle plánu nebo na vyžádání. Tento proces nevede k přerušení nebo opětovnému nasazení vašich aktivních aplikací.

Rotace tajných informací znamená pravidelnou aktualizaci citlivých dat organizace. Když otočíte daný tajný klíč, je potřeba aktualizovat nejen data v tajném klíči, ale i v příslušné službě nebo databázi. Automatizaci rotace si můžete nastavit pomocí konzole a AWS CLI a ušetřit tak čas.

K aktualizaci tajných klíčů využívá AWS Secret Manager funkci AWS Lambda, kterou volá dle nastaveného plánu. Můžete si nastavit konkrétní plán (např. rotace každých 30 nebo 90 dní) nebo pomocí výrazu cron.

Během rotace může Správce tajemství označit verzi tajného klíče pomocí pracovních štítků. Může také volat funkci vícekrát během rotace s různými parametry.

Proces rotace tajných klíčů:

  • Vytvoření nové verze tajné informace. Ta může obsahovat nové uživatelské jméno a heslo, případně další tajná data.
  • Aktualizace stávajících přihlašovacích údajů ve službě nebo databázi, aby odpovídaly novým údajům v nové verzi. Na základě vaší rotovací strategie bude vytvořen nový uživatel se stejnými přístupovými oprávněními jako stávající uživatel.
  • Otestování nové verze tajné informace tím, že jí umožníte přístup ke službě nebo databázi. Můžete zahrnout přístup pro čtení i zápis.
  • Provedení rotace přesunem nové verze ze staré na aktuální. Starou verzi si ponechte pro případ obnovení.

#4. Monitorování tajných informací

Vzhledem k tomu, že k narušení bezpečnosti může dojít kdykoli, je důležité neustále sledovat vaše tajné informace a reagovat na potenciální hrozby včas. AWS Secrets Manager vám umožňuje sledovat vaše data pomocí monitorovacích nástrojů a okamžitě vás informovat o jakýchkoli problémech.

Protokoly vám umožní zkoumat neočekávané změny nebo neobvyklé použití. Nežádoucí změny lze vrátit a obnovit předchozí verze. Můžete také nastavit automatické kontroly pro detekci pokusů o neoprávněné smazání nebo použití tajných informací.

Sledování tajných informací vám poskytuje:

  • Protokolování událostí pomocí AWS CloudTrail: AWS CloudTrail zaznamenává volání API jako události, včetně rotace a smazání tajných informací. Zobrazí se vám události za posledních 90 dní. Protokoly můžete nechat doručovat přímo do Amazon S3 bucketu.
  • Monitorování pomocí CloudWatch: CloudWatch vám umožňuje sledovat vaše tajné informace a transformovat nezpracovaná data do metrik v reálném čase. Data se ukládají po dobu 15 měsíců.
  • Přiřazování událostí pomocí EventBridge: S EventBridge můžete přiřazovat události z protokolů AWS CloudTrail. Nastavíte si pravidla, která budou události hledat a provádět akce.
  • Sledování plánovaného mazání tajných klíčů: Pomocí kombinace protokolů Amazon CloudWatch, Simple Notification Service (SNS) a CloudTrail můžete nastavit alarmy, které vás upozorní na pokusy o smazání tajných informací.

Po obdržení alarmu budete mít čas rozhodnout, zda chcete mazání potvrdit nebo ho zrušit. Také můžete uživateli povolit přístup k nové verzi tajného klíče.

#5. Integrace

AWS Secrets Manager se integruje s řadou dalších nástrojů od Amazonu a AWS, včetně: Alexa for Business, AWS App2Container, App Runner, Amazon AppFlow, AWS AppConfig, Amazon Athena, Amazon DocumentDB, AWS DataSync, AWS CodeBuild, Amazon ElasticCache, Amazon EMR, AWS Elemental Live, Amazon QuickSight, Amazon Redshift, AWS Migration Hub, Amazon RDS a dalších.

Proč používat AWS Secrets Manager?

Vylepšená bezpečnost

Secrets Manager pomáhá vylepšit bezpečnost vaší organizace tím, že eliminuje potřebu pevně zakódovaných přihlašovacích údajů v kódu aplikace. Ukládáním citlivých údajů v Secrets Manager předejdete rizikům spojeným s neoprávněným přístupem k aplikaci nebo jejím komponentům.

Obnova po havárii

Katastrofy (např. kybernetické útoky) mohou vést ke ztrátě důležitých dat, hesel a dalších přihlašovacích údajů. Může dojít i k náhodnému smazání dat.

S Secrets Manager nahradíte pevně zakódované přihlašovací údaje dynamickým voláním do služby, což vám umožní získat přihlašovací údaje kdykoli to budete potřebovat.

Snížení rizik

Správce tajných informací vám umožňuje nastavit plán rotace, který automaticky mění tajné klíče. Tímto způsobem můžete nahradit dlouhodobé tajné klíče krátkodobými, a tím snížit riziko ohrožení bezpečnosti.

Navíc rotace přihlašovacích údajů nevyžaduje aktualizaci aplikací nebo úpravy klientského kódu, protože přihlašovací údaje nejsou uloženy přímo v aplikaci.

Splnění požadavků na shodu

S ohledem na rostoucí rizika v oblasti bezpečnosti a ochrany soukromí, vyžadují regulační orgány jako GDPR a HIPAA, aby organizace dodržovaly bezpečnostní standardy a chránily data zákazníků a firem. Používejte proto pouze aplikace a služby, které splňují platné předpisy.

AWS Secrets Manager vám umožní sledovat vaše tajné informace, detekovat zranitelnosti a rizika ohrožující data a včas zasáhnout. Chráníte tak informace o vaší firmě a zákaznících a dodržujete příslušné předpisy. Také se lépe připravíte na případný audit díky kompletní dokumentaci.

Navíc, s AWS Config můžete vyhodnotit, zda vaše tajné informace splňují interní zásady, předpisy a průmyslová doporučení vaší organizace. Můžete definovat požadavky na dodržování předpisů a identifikovat tajné informace, které těmto požadavkům neodpovídají.

Lepší kontrola

S podrobnými zásadami a řízením přístupu získáte lepší kontrolu nad svými tajnými informacemi, systémy a dalšími daty. AWS IAM zajistí, že správné osoby mají správná přístupová oprávnění k odpovídajícím zdrojům. Administrátoři mohou vytvářet a mazat účty, povolovat nebo omezovat přístup, přidávat a odebírat členy a provádět další potřebné akce.

Jak nastavit a používat AWS Secrets Manager

Postup nastavení a používání AWS Secrets Manager:

  • Založte si AWS účet.
  • Přihlaste se ke svému AWS účtu.
  • Přejděte do konzole AWS Secrets Manager.
  • Klikněte na „Uložit nové tajemství“ a uložte své tajné informace.

Jak vytvořit a uložit nové tajemství

Pro vytvoření tajného klíče v Secrets Manager potřebujete oprávnění ze spravované zásady SecretsManagerReadWrite. Po vytvoření tajného klíče vygeneruje Secret Manager záznam protokolu CloudTrail.

Chcete-li uložit přístupové tokeny, API klíče a přihlašovací údaje, postupujte takto:

Zdroj: Stack Overflow

  • Otevřete konzoli AWS Secrets Manager.
  • Klikněte na tlačítko „Uložit nové tajemství“.

    • Zobrazí se stránka „Vyberte typ tajemství“. Pokračujte těmito kroky:

    • Vyberte „Jiný typ tajemství“ pro typ tajemství, který chcete vytvořit.
    • Uvidíte pole pro páry klíč/hodnota. Zadejte tajný klíč v JSON formátu nebo vyberte kartu Prostý text a zadejte tajné informace ve vámi preferovaném formátu. Je možné uložit tajemství o velikosti až 65 536 bajtů.
    • Vyberte klíč AWS KMS, který bude Secrets Manager používat pro šifrování tajné hodnoty. Pro správu můžete použít aws/secretsmanager. To nezpůsobuje další náklady.
    • Chcete-li mít přístup k tajnému klíči z jiného AWS účtu nebo použít svůj klíč KMS k povolení rotace, vyberte možnost „Přidat nový klíč“ nebo vyberte spravovaný klíč ze seznamu. Klíče spravované zákazníkem jsou však zpoplatněny.
    • Vyberte „Další“.

  • Na stránce „Konfigurace tajemství“:
    • Zadejte název a popis tajného klíče. Název musí mít 1-512 znaků Unicode.
    • V sekci Štítky můžete přidat štítky k tajnému klíči. Také můžete zahrnout zásady pro zdroje výběrem možnosti „Upravit oprávnění“.
    • Můžete také replikovat tajný klíč do jiné AWS oblasti výběrem „Replikovat tajný klíč“. Tyto kroky jsou volitelné.
    • Vyberte „Další“.
  • Pokud chcete, můžete na stránce „Konfigurace rotace“ povolit automatické střídání. Tento krok je také volitelný. Vyberte „Další“.
  • Zkontrolujte podrobnosti o tajném klíči na stránce „Kontrola“ a vyberte „Uložit“. A je to. Secrets Manager vás přesměruje na seznam tajných klíčů. Nově přidané tajemství byste měli vidět v seznamu, jinak aktualizujte stránku.

    • Kromě konzole můžete přidat tajné informace prostřednictvím AWS SDK a AWS CLI.

    AWS Secrets Manager vs. AWS Parameter Store

    AWS Parameter Store je nástroj pro správu aplikací od AWS Systems Manager (SSM), který umožňuje vytvářet parametry typu klíč-hodnota. Můžete v nich ukládat konfigurace aplikací, přihlašovací údaje, produktové klíče a vlastní proměnné prostředí.

    AWS Secrets Manager je služba pro vytváření, ukládání, správu, načítání a rotaci přihlašovacích údajů, klíčů, API tokenů atd.

    Obě služby mají podobné rozhraní pro definování tajných klíčů a parametrů, ale liší se v následujícím:

    AWS Secrets Manager AWS Parameter Store
    Velikost úložiště Ukládá až 10 kB tajné informace Ukládá až 4 096 znaků nebo 4 kB pro standardní parametry a až 8 kB pro pokročilé parametry.
    Cena 0,40 $/tajný klíč/měsíc Standardní parametry jsou zdarma, pokročilé parametry stojí 0,05 $/10 000 API volání.
    Rotace Nabízí automatickou rotaci a konfiguraci tajného klíče. Pro aktualizaci přihlašovacích údajů musíte sami napsat funkci.
    Přístup mezi účty Ano Ne
    Replikace mezi oblastmi Ano Ne
    Typ přihlašovacích údajů Určeno pro důvěrná data, která vyžadují šifrování, tedy omezené případy použití. Širší případ použití, protože můžete ukládat více typů přihlašovacích údajů, včetně konfigurací aplikací, produktových kódů a URL.

    Závěr

    AWS Secrets Manager je vhodný pro malé, střední i velké podniky pro bezpečné vytváření a ukládání tajných informací. Nabízí vylepšené zabezpečení, soukromí, řízení přístupu a funkce pro ochranu vašich tajných dat před neoprávněným přístupem.

    Doporučujeme také prozkoumat možnosti zabezpečení a monitorování konfigurace AWS.