AWS Secrets Manager vă permite să stocați în siguranță toate acreditările, datele, parolele și alte secrete.
Atacurile cibernetice cresc rapid pe tot globul, cu scopul de a fura informații confidențiale și bani și lăsând organizațiile devastate.
Acesta este motivul pentru care este nevoie să utilizați servicii puternice, cum ar fi Secrets Manager, care vă pot proteja datele.
În acest articol, voi discuta despre AWS Secrets Manager și cât de benefic poate fi pentru dvs.
Să începem!
Cuprins
Ce este AWS Secrets Manager?
AWS Secrets Manager este un instrument care îi ajută pe utilizatori să gestioneze, să rotească și să-și recupereze secretele, cum ar fi parolele, cheile API, acreditările pentru baze de date și aplicații etc., pe parcursul ciclului de viață al fiecăruia.
Un secret aici poate fi o informație confidențială și valoroasă despre organizația dvs. pe care doriți să o stocați în siguranță. Poate fi o autentificare, cum ar fi o parolă și un nume de utilizator, un token OAuth, o autentificare AWS, chei SSK, chei de criptare, certificate și chei private și multe altele.
Scopul principal al AWS Secrets Manager este de a gestiona și de a proteja datele dvs. utilizate pentru accesarea resurselor, serviciilor, aplicațiilor și sistemelor IT. Stochează și gestionează secretele și datele într-un loc centralizat, facilitând accesul utilizatorilor legitimi fără a necesita cod complex.
AWS Secrets Manager vă permite să rotiți secretele în diferite servicii AWS, cum ar fi Redshift, RDS și DocumentDB. Acest lucru permite ca toate cheile și acreditările bazei de date să fie actualizate în mod constant în cadrul acestor servicii. În plus, puteți roti secretele la cerere sau la o programare folosind consola încorporată a instrumentului, AWS SDK sau AWS CLI.
Mai mult, AWS Secrets Manager oferă un control mai bun al datelor și o criptare puternică pentru protecția datelor. De asemenea, vă permite să monitorizați informațiile protejate și să le auditați cu ajutorul diferitelor integrări disponibile.
Cei mai mari utilizatori ai săi sunt companiile mari în ceea ce privește dimensiunea afacerii și companiile de software în ceea ce privește tipul de industrie.
AWS Secrets Manager: Caracteristici
#1. Depozitare și management secret
Nu numai stocarea, dar vă puteți gestiona cu ușurință secretele cu Secrets Manager. Pentru a gestiona datele de pe platformă, puteți efectua diverse acțiuni cu datele dvs.:
- Crearea unui secret și a unei baze de date
- Modificarea unui secret
- Găsirea unui secret
- Ștergerea unui secret de care nu mai aveți nevoie
- Restaurarea unui secret pe care l-ați pierdut sau șters
- Replicarea unui secret într-o altă regiune AWS
- Promovarea unui secret replicat la un secret autonom dat în AWS Secrets Manager
Vă puteți stoca acreditările pe platformă după ce vă creați contul în Amazon Aurora, Amazon RDS, Amazon DocumentDB sau Amazon Redshift. Puteți face acest lucru utilizând consola Secrets Manager, AWS SDK sau AWS CLI.
#2. Securitate puternică
AWS Secrets Manager folosește o criptare puternică pentru a vă proteja toate secretele de utilizatorii neautorizați. Vă criptează secretele folosind cheile AWS Key Management Service (KMS).
Secrets Manager utilizează AWS Identity and Access Management (IAM) pentru a permite utilizatorilor să-și acceseze secretele în siguranță. Oferă controale avansate de acces și autentificare.
- Autentificarea este utilizată pentru verificarea identității utilizatorului care face cererea. Iar identificarea se face printr-un proces de conectare care necesită jetoane de autentificare multifactor (MFA), chei de acces și parole.
- Controlul accesului este utilizat pentru a se asigura că utilizatorii aprobați pot efectua numai anumite operațiuni asupra secretelor.
În afară de acestea, Secrets Manager utilizează politici care definesc utilizatorii care pot accesa ce resurse și pot lua ce acțiuni asupra acestor secrete sau resurse. Vă permite să utilizați AWS IAM Roles Anywhere și să obțineți acreditări temporare pentru securitatea în IAM pentru servere, aplicații, containere și alte sarcini de lucru care nu mai au AWS.
În plus, puteți activa aceleași roluri și politici IAM pentru încărcăturile dvs. de lucru pe care le-ați creat pentru aplicațiile AWS pentru a vă accesa resursele atât în dispozitivele AWS, cât și în cele locale (cum ar fi serverele de aplicații).
#3. Rotația secretelor
AWS Secrets Manager vă permite să rotiți secretele la un program sau la cerere, fără a întrerupe sau redistribui aplicațiile dvs. active.
Aici, rotația secretelor se referă la procesul de actualizare periodică a secretelor unei organizații. Deci, atunci când rotiți un anumit secret, va trebui să actualizați datele sau acreditările din secret, precum și serviciul sau baza de date. În plus, vă permite să automatizați rotația secretelor și să economisiți timp prin configurarea și automatizarea rotației secretelor prin consolă și AWS CLI pentru a economisi timp.
Pentru a actualiza un secret, AWS Secret Manager folosește funcția AWS Lambda și o apelează pe baza programului de configurare. Pentru aceasta, va trebui să configurați un program specific pentru a activa rotația după o anumită perioadă, cum ar fi 90 de zile sau 30 de zile. Se poate face și prin crearea unei expresii cron.
Mai mult, Managerul de secrete poate eticheta versiunea secretului în timpul rotației utilizând etichete de punere în scenă. Poate apela o funcție de mai multe ori în timpul rotației, oferind diferiți parametri.
Iată cum puteți roti un secret:
- Creați noua versiune a secretului. Poate avea un nume de utilizator și o parolă noi, împreună cu mai multe date secrete.
- Modificați acreditările existente în serviciu sau bază de date. Făcând acest lucru, se vor potrivi noile acreditări în noua versiune secretă. Pe baza strategiei de rotație pe care o implementați, va fi creat un nou utilizator având aceleași permisiuni de acces ca și utilizatorul existent.
- Testați versiunea secretă nou creată, permițându-i să acceseze serviciul sau baza de date. Pe baza tipului de acces pe care îl necesită aplicațiile dvs.; puteți include acces de citire și scriere.
- Efectuați rotația mutând noua versiune de la vechea versiune la noua versiune secretă. Păstrați versiunea veche și adăugați-o la versiunea anterioară pentru a evita pierderea cu totul a secretului.
#4. Monitorizare secretă
Deoarece încălcările și ineficiența pot apărea în orice moment, este important să țineți cont de secretele dvs. și să luați măsurile necesare atunci când mai este timp. AWS Secrets Manager vă permite să vă monitorizați datele folosind instrumente de monitorizare și să raportați imediat în cazul în care ceva nu merge bine.
Veți putea folosi jurnalele pentru a investiga orice modificări sau utilizare neașteptate. Dacă sunt găsite, puteți, de asemenea, să anulați modificările nedorite și să preluați versiunea anterioară. În plus, puteți configura verificări automate pentru a detecta orice încercare de ștergere a secretelor sau de utilizare inadecvată a secretelor.
Iată ce veți obține cu monitorizarea secretă:
- Înregistrați evenimente folosind AWS CloudTrail: AWS CloudTrail poate înregistra apeluri API ca evenimente din consolă pentru rotație și ștergere secretă. Vă va afișa evenimentele înregistrate din ultimele 90 de zile. De asemenea, puteți configura CloudTrail pentru a livra fișiere jurnal direct în compartimentul Amazon S3 din mai multe regiuni și conturi AWS.
- Monitorizați folosind CloudWatch: Cu CloudWatch, vă puteți monitoriza cu ușurință secretele, permițându-l să colecteze și să proceseze date brute în valori în timp real, care pot fi citite. Datele vor fi salvate timp de 15 luni pentru a evalua performanța serviciului sau a aplicației.
- Potrivirea evenimentelor utilizând EventBridge: Cu EventsBridge, este posibilă potrivirea evenimentelor din fișierele jurnal AWS CloudTrail. Pentru aceasta, configurați riles-urile care caută acele evenimente și trimiteți un nou eveniment pentru a lua măsuri către o țintă.
- Monitorizați secretele programate pentru ștergere: prin combinarea Amazon CloudWatch Logs, Serviciul de notificare simplă (SNS) și CloudTrail, puteți configura alarme pentru a notifica în cazul oricărei încercări neautorizate de a șterge un secret.
La primirea unei alarme, veți avea timp să vă gândiți dacă doriți cu adevărat să o ștergeți sau să opriți ștergerea. Alternativ, puteți permite unui utilizator să folosească un nou secret și să îi oferiți permisiuni de acces.
#5. Integrari
AWS Secrets Manager se integrează cu o mulțime de alte instrumente Amazon și AWS. Lista include Alexa for Business, AWS App2Container, App Runner, Amazon AppFlow, AWS AppConfig, Amazon Athena, Amazon DocumentDB, AWS DataSync, AWS CodeBuild, Amazon ElasticCache, Amazon EMR, AWS Elemental Live, Amazon QuickSight, Amazon Redshift, AWS Migration Hub , Amazon RDS și multe altele.
De ce să folosiți AWS Secrets Manager
Postura de securitate îmbunătățită
Secrets Manager vă permite să îmbunătățiți postura de securitate a organizației dvs., deoarece nu aveți nevoie de acreditări hard-coded în codul sursă al aplicației. Prin stocarea acreditărilor în Managerul de secrete, puteți evita compromisurile legate de securitate de către cineva care poate accesa aplicația sau componentele acesteia.
Recuperare în caz de dezastru
Un dezastru vă poate bate la ușă în orice moment, cum ar fi o încălcare cibernetică. Acest lucru vă va duce să vă pierdeți informațiile cruciale, parolele și alte acreditări și date. Sau, s-ar putea să vă pierdeți datele din cauza ștergerii accidentale.
Folosind instrumentul, puteți înlocui acreditările codificate cu un apel în timpul de execuție către AWS Secrets Manager pentru a vă recupera în mod dinamic acreditările atunci când aveți nevoie.
Riscuri reduse
Secrets Manager vă permite să configurați un program de rotație, astfel încât secretele să se poată roti automat când va veni momentul. În acest fel, vă puteți înlocui secretele pe termen lung cu secrete pe termen scurt, ceea ce ajută la reducerea riscurilor compromisurilor de securitate.
În plus, rotația acreditărilor nu necesită actualizări ale aplicației sau modificarea clienților aplicației, deoarece nu vă veți stoca acreditările cu aplicația.
Îndeplinirea cerințelor de conformitate
Având în vedere creșterea riscurilor de securitate și confidențialitate, organismele de reglementare precum GDPR și HIPAA solicită organizațiilor să respecte standardul lor de conformitate pentru a se asigura că gestionează în siguranță datele clienților și ale afacerii. Astfel, utilizați numai o aplicație sau un serviciu care este sigur și care respectă reglementările aplicabile.
AWS Secrets Manager, vă puteți monitoriza secretele pentru a detecta orice vulnerabilitate de securitate sau risc care vă poate compromite datele și luați măsuri în prealabil. Acest lucru vă protejează, în esență, informațiile despre companie și despre clienți, care sunt extrem de esențiale pentru menținerea conformității. De asemenea, vă puteți pregăti mai bine pentru audituri documentând totul.
În plus, puteți utiliza AWS Configs pentru a vă evalua secretele și modul în care respectă politicile interne ale organizației dvs., reglementările și liniile directoare ale industriei. Vă permite să definiți cerințele de conformitate și controalele interne pentru secrete și să identificați secretele care nu sunt conforme.
Controale mai bune
Veți obține un control mai bun asupra secretelor, sistemelor și altor date cu politici detaliate și controale de acces. AWS IAM se va asigura că persoana potrivită are nivelul potrivit de permisiuni de acces la resursele potrivite. Administratorii pot crea sau șterge conturi, pot permite sau restricționa accesul utilizatorilor, pot adăuga sau elimina membri și pot efectua multe acțiuni în funcție de nevoi și situații.
AWS Secrets Manager: Cum să îl configurați și să îl utilizați
Iată cum puteți configura și utiliza AWS Secrets Manager:
- Configurați-vă contul AWS introducând detaliile necesare.
- Conectați-vă la contul dvs. AWS
- Accesați consola AWS Secrets Manager
- Găsiți opțiunea „Storează un nou secret” și faceți clic pe ea pentru a vă crea și stoca secretul.
Cum să creați și să stocați un nou secret
Pentru a crea un secret în Secrets Manager, aveți nevoie de permisiunea politicilor gestionate SecretsManagerReadWrite. Când se creează un secret, Secret Manager va genera o intrare de jurnal CloudTrail.
Urmați pașii de mai jos pentru a stoca jetoanele de acces, cheile API și acreditările în AWS Secrets Manager:
Sursa: Stack Overflow
Veți găsi pagina „Alegeți tipul secret”. Apoi, efectuați următorii pași:
- Selectați „Alt tip de secret” pentru tipul de secret pe care doriți să îl creați.
- Veți vedea perechi cheie/valoare. Introduceți un secret în perechile cheie/valoare în JSON. Sau selectați fila Text simplu și introduceți secretul dvs. într-un format la alegere. Este posibil să stocați secrete până la 65536 de octeți.
- Selectați cheia AWS KMS folosită de Secret Manager pentru a cripta valoarea secretă. În mare parte, puteți alege aws/secretsmanager pentru utilizarea cheii gestionate. Nu implică niciun cost.
- Pentru a accesa un secret dintr-un alt cont AWS sau pentru a utiliza cheia KMS pentru a activa rotația sau pentru a implementa o politică pentru această cheie, selectați „Adăugați o cheie nouă” sau selectați o cheie care este gestionată de client din lista dată. Cu toate acestea, o cheie gestionată de client este plătită.
- Selectați „Următorul”
- Introduceți un nume secret și descrierea acestuia. Numele trebuie să aibă 1-512 caractere Unicode.
- Puteți adăuga etichete la un secret din secțiunea Etichete. De asemenea, puteți include o politică de resurse alegând „Editare permisiuni”.
- În plus, este, de asemenea, posibil să replicați un secret într-o altă regiune AWS, alegând „Replicare secret”. Acești pași sunt opționali.
- Alegeți „Următorul”
În afară de consolă, puteți adăuga și un secret prin AWS SDK și AWS CLI.
AWS Secrets Manager vs. AWS Parameter Store
AWS Parameter Store este un instrument de gestionare a aplicațiilor de la AWS Systems Manager (SSM) care permite utilizatorilor să creeze un parametru cheie-valoare, care poate salva configurațiile, acreditările, cheile de produs și variabilele de mediu personalizate ale unei aplicații.
Pe de altă parte, AWS Secrets Manager este un serviciu care vă permite să creați, să stocați, să gestionați, să preluați și să rotiți acreditări, chei, jetoane API etc.
Ambele servicii au interfețe similare în care este ușor să vă declarați perechile cheie-valoare pentru secrete și parametri. Cu toate acestea, aceștia fac din următoarele motive:
AWS Secrets ManagerAWS Parameters Store Dimensiunea stocăriiStochează până la 10 kb de dimensiune secretă Stochează până la 4096 de caractere sau 4 kb pentru o intrare și poate crește până la 8 kb pentru parametrii avansați LimitePoate stoca 500.000 secrete/regiune/contPoate stoca 10.000 de parametri standard,/regiune/accountCost costă 0,40 USD/secret/lunăGratuit pentru parametrii standard și costă 0,05 USD/10.000 Apeluri API pentru parametrii avansați RotațieOferă rotație automată pentru orice secret în orice moment și poate fi configurat. pentru date confidențiale care necesită criptare, deci, cazuri de utilizare limitate. Caz de utilizare mai larg, deoarece puteți stoca mai multe tipuri de acreditări, inclusiv variabile de configurare a aplicației, cum ar fi cheile de produs, adresele URL etc.
Concluzie
Indiferent dacă sunteți dintr-o companie mică, mijlocie sau mare, puteți utiliza AWS Secrets Manager pentru a vă crea și stoca secretele. Oferă securitate sporită, confidențialitate, controale de acces, caracteristici și capabilități pentru a vă proteja secretele împotriva accesului neautorizat.
De asemenea, puteți explora cum să efectuați scanarea de securitate AWS și monitorizarea configurației.