Sicherheitskontrolle: Datenschutz
Datenschutz umfasst die Kontrolle des Datenschutzes im Ruhezustand, während der Übertragung und über autorisierte Zugriffsmechanismen, einschließlich Ermittlung, Klassifizierung, Schutz und Überwachung vertraulicher Datenressourcen mithilfe von Zugriffssteuerung, Verschlüsselung, Schlüsselverwaltung und Zertifikatverwaltung.|
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Sicherheitsprinzip: Erstellen und Verwalten eines Bestands der vertraulichen Daten basierend auf dem definierten Bereich für vertrauliche Daten. Verwenden Sie Tools zum Erkennen, Klassifizieren und Bezeichnen der vertraulichen Daten im betreffenden Bereich.
Azure-Leitfaden: Verwenden Sie Tools wie Microsoft Purview, das die früheren Compliancelösungen Azure Purview und Microsoft 365 kombiniert, und Azure SQL Datenermittlung und -klassifizierung, um die vertraulichen Daten, die sich in Azure, lokal, Microsoft 365 und anderen Speicherorten befinden, zentral zu scannen, zu klassifizieren und zu bezeichnen.
Azure-Implementierung und zusätzlicher Kontext:
- Übersicht über die Datenklassifizierung
- Bezeichnung in Microsoft Purview Data Map
- Markieren vertraulicher Informationen mit Azure Information Protection
- Implementieren von Azure SQL Data Discovery
- Azure Purview Datenquellen
AWS-Leitfaden: Replizieren Sie Ihre Daten aus verschiedenen Quellen in einen S3-Speicherbucket, und verwenden Sie AWS Macie, um die im Bucket gespeicherten vertraulichen Daten zu scannen, zu klassifizieren und zu bezeichnen. AWS Macie kann vertrauliche Daten wie Sicherheitsanmeldeinformationen, Finanzinformationen, PHI- und PII-Daten oder ein anderes Datenmuster basierend auf den benutzerdefinierten Datenbezeichnerregeln erkennen.
Sie können auch den Azure Purview Multi-Cloud Scanning Connector verwenden, um die vertraulichen Daten in einem S3-Speicherbucket zu überprüfen, zu klassifizieren und zu bezeichnen.
Hinweis: Sie können auch Unternehmenslösungen von Drittanbietern aus dem AWS Marketplace zum Zweck der Datenermittlungsklassifizierung und -bezeichnung verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Tools wie Google Cloud Data Loss Prevention, um die vertraulichen Daten, die sich in den GCP- und lokalen Umgebungen befinden, zentral zu scannen, zu klassifizieren und zu bezeichnen.
Verwenden Sie außerdem Google Cloud Data Catalog, um die Ergebnisse einer DLP-Überprüfung (Cloud Data Loss Prevention) zu verwenden, um vertrauliche Daten mit definierten Tagvorlagen zu identifizieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Sicherheitsprinzip: Überwachen Sie auf Anomalien in Bezug auf vertrauliche Daten, z. B. nicht autorisierte Übertragung von Daten an Standorte außerhalb der Sichtbarkeit und Kontrolle des Unternehmens. Dies umfasst in der Regel die Überwachung anomaler Aktivitäten (große oder ungewöhnliche Übertragungen), die auf eine nicht autorisierte Datenexfiltration hindeuten können.
Azure-Leitfaden: Verwenden Sie Azure Information Protection (AIP), um die klassifizierten und bezeichneten Daten zu überwachen.
Verwenden Sie Microsoft Defender für Storage, Microsoft Defender für SQL, Microsoft Defender für relationale Open-Source-Datenbanken und Microsoft Defender für Cosmos DB, um bei anomaler Übertragung von Informationen zu warnen, die auf nicht autorisierte Übertragungen vertraulicher Daten hinweisen können. Informationen.
Hinweis: Wenn dies für die Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung von Azure Marketplace oder eine Microsoft 365 DLP-Lösung verwenden, um detektive und/oder vorbeugende Kontrollen zur Verhinderung der Datenexfiltration zu erzwingen.
Azure-Implementierung und zusätzlicher Kontext:
- „Enable Azure Defender for SQL“ (Azure Defender für SQL aktivieren)
- Aktivieren von Azure Defender für Storage
- Aktivieren von Microsoft Defender für Azure Cosmos DB
- Aktivieren von Microsoft Defender für relationale Open-Source-Datenbanken und Reagieren auf Warnungen
AWS-Leitfaden: Verwenden Sie AWS Macie, um die klassifizierten und bezeichneten Daten zu überwachen, und verwenden Sie GuardDuty, um anomale Aktivitäten für einige Ressourcen (S3, EC2 oder Kubernetes oder IAM-Ressourcen) zu erkennen. Ergebnisse und Warnungen können mithilfe von EventBridge selektieren, analysiert und nachverfolgt und zur Aggregation und Nachverfolgung von Vorfällen an Microsoft Sentinel oder Security Hub weitergeleitet werden.
Sie können Ihre AWS-Konten auch mit Microsoft Defender für Cloud verbinden, um Complianceprüfungen, Containersicherheit und Endpunktsicherheitsfunktionen zu gewährleisten.
Hinweis: Wenn dies für die Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung aus AWS Marketplace verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Google Cloud Security Command Center/Ereignis-Bedrohungserkennung/Anomalieerkennung, um bei anomaler Übertragung von Informationen zu warnen, die auf nicht autorisierte Übertragungen vertraulicher Dateninformationen hinweisen können.
Sie können Ihre GCP-Konten auch mit Microsoft Defender für Cloud verbinden, um Konformitätsprüfungen, Containersicherheit und Endpunktsicherheitsfunktionen zu gewährleisten.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über die Ereignis-Bedrohungserkennung
- Anomalieerkennung mithilfe von Streaminganalysen & KI
- Erkennung von Anomalien
Kundensicherheitsbeteiligte (Weitere Informationen):
- Sicherheitsvorgänge
- Anwendungssicherheit und DevOps-Funktionen
- Infrastruktur- und Endpunktsicherheit
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Sicherheitsprinzip: Schützen Sie die übertragenen Daten vor Out-of-Band-Angriffen (z. B. Datenverkehrserfassung) mithilfe von Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Legen Sie die Netzwerkgrenze und den Dienstbereich fest, in dem die Verschlüsselung von Daten während der Übertragung innerhalb und außerhalb des Netzwerks obligatorisch ist. Obwohl dies bei Datenverkehr in privaten Netzwerken optional ist, ist es für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung.
Azure-Leitfaden: Erzwingen Sie die sichere Übertragung in Diensten wie Azure Storage, in denen ein natives Feature für die Datenverschlüsselung integriert ist.
Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren Azure-Ressourcen herstellen, TLS (Transport Layer Security) v1.2 oder höher verwenden. Verwenden Sie für die Remoteverwaltung von VMs SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Verwenden Sie für die Remoteverwaltung von virtuellen Azure-Computern SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst im Azure Storage-Blob, App Service-Apps und Funktions-Apps, anstatt den regulären FTP-Dienst zu verwenden.
Hinweis: Die Verschlüsselung von Daten während der Übertragung ist für den gesamten Azure-Datenverkehr zwischen Azure-Rechenzentren aktiviert. TLS v1.2 oder höher ist für die meisten Azure-Dienste standardmäßig aktiviert. Und einige Dienste wie Azure Storage und Application Gateway können TLS v1.2 oder höher auf der Serverseite erzwingen.
Azure-Implementierung und zusätzlicher Kontext:
- Doppelte Verschlüsselung für Azure-Daten während der Übertragung
- Grundlegendes zur Verschlüsselung während der Übertragung mit Azure
- Informationen zur TLS-Sicherheit
- Erzwingen der sicheren Übertragung in Azure Storage
AWS-Leitfaden: Erzwingen Sie die sichere Übertragung in Diensten wie Amazon S3, RDS und CloudFront, in denen eine native Datenverschlüsselungsfunktion integriert ist.
Erzwingen Sie HTTPS (z. B. in AWS Elastic Load Balancer) für Workload-Webanwendungen und -Dienste (entweder auf Server- oder Clientseite oder auf beiden Seiten), indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren AWS-Ressourcen herstellen, TLS v1.2 oder höher verwenden.
Verwenden Sie für die Remoteverwaltung von EC2-Instanzen SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den AWS Transfer SFTP- oder FTPS-Dienst anstelle eines regulären FTP-Diensts.
Hinweis: Der gesamte Netzwerkdatenverkehr zwischen AWS-Rechenzentren wird auf physischer Ebene transparent verschlüsselt. Der gesamte Datenverkehr innerhalb einer VPC und zwischen Peering-VPCs über Regionen hinweg wird auf Netzwerkebene transparent verschlüsselt, wenn unterstützte Amazon EC2-instance-Typen verwendet werden. TLS v1.2 oder höher ist für die meisten AWS-Dienste standardmäßig aktiviert. Und einige Dienste wie AWS Load Balancer können TLS v1.2 oder höher serverseitig erzwingen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Erzwingen Sie eine sichere Übertragung in Diensten wie Google Cloud Storage, bei denen eine native Datenverschlüsselungsfunktion integriert ist.
Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, um sicherzustellen, dass alle Clients, die eine Verbindung mit Ihren GCP-Ressourcen herstellen, TLS (Transport Layer Security) v1.2 oder höher verwenden.
Verwenden Sie für die Remoteverwaltung die Google Cloud Compute Engine SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Diensten wie Google Cloud Big Query oder Cloud App Engine anstelle eines regulären FTP-Diensts.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps-Funktionen
- Datensicherheit
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 3,11 | SC-28 | 3.4, 3.5 |
Sicherheitsprinzip: Zur Ergänzung der Zugriffssteuerung sollten ruhende Daten durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. zugriff auf den zugrunde liegenden Speicher) geschützt werden. Dadurch wird sichergestellt, dass die Daten von Angreifern nicht einfach gelesen oder geändert werden können.
Azure-Leitfaden: Bei vielen Azure-Diensten ist die Verschlüsselung ruhender Daten standardmäßig auf der Infrastrukturebene mithilfe eines dienstverwalteten Schlüssels aktiviert. Diese vom Dienst verwalteten Schlüssel werden im Auftrag des Kunden generiert und automatisch alle zwei Jahre rotiert.
Sofern technisch möglich und standardmäßig nicht aktiviert, können Sie die Verschlüsselung ruhender Daten in den Azure-Diensten oder auf Ihren VMs auf Speicherebene, Dateiebene oder Datenbankebene aktivieren.
Azure-Implementierung und zusätzlicher Kontext:
- Grundlegendes zur Verschlüsselung ruhender Daten in Azure
- Doppelte Verschlüsselung für ruhende Daten in Azure
- Tabelle für Verschlüsselungsmodell und Schlüsselverwaltung
AWS-Leitfaden: Bei vielen AWS-Diensten ist die Verschlüsselung ruhender Daten standardmäßig auf der Infrastruktur-/Plattformebene unter Verwendung eines von AWS verwalteten Kundenschlüssels master aktiviert. Diese von AWS verwalteten Kunden-master Schlüssel werden im Auftrag des Kunden generiert und automatisch alle drei Jahre rotiert.
Sofern technisch möglich und standardmäßig nicht aktiviert, können Sie die Verschlüsselung ruhender Daten in den AWS-Diensten oder auf Ihren virtuellen Computern auf Speicherebene, Dateiebene oder Datenbankebene aktivieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Bei vielen Google Cloud-Produkten und -Diensten ist die Verschlüsselung ruhender Daten standardmäßig auf der Infrastrukturebene mithilfe eines vom Dienst verwalteten Schlüssels aktiviert. Diese dienstverwalteten Schlüssel werden im Namen des Kunden generiert und automatisch rotiert.
Sofern technisch möglich und standardmäßig nicht aktiviert, können Sie die Verschlüsselung ruhender Daten in den GCP-Diensten oder auf Ihren VMs auf Speicherebene, Dateiebene oder Datenbankebene aktivieren.
Hinweis: Weitere Details finden Sie im Dokument "Granularität der Verschlüsselung für Google Cloud-Dienste".
GCP-Implementierung und zusätzlicher Kontext:
- Standardverschlüsselung ruhender Daten
- Datenverschlüsselungsoptionen
- Granularität der Verschlüsselung für Google Cloud-Dienste
Kundensicherheitsbeteiligte (weitere Informationen):
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 3,11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Sicherheitsprinzip: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem die Option kundenseitig verwalteter Schlüssel erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln in Diensten.
Azure-Leitfaden: Azure bietet für die meisten Dienste auch eine Verschlüsselungsoption mit selbst verwalteten Schlüsseln (kundenseitig verwaltete Schlüssel).
Azure Key Vault Standard, Premium und Managed HSM sind nativ in viele Azure Services für kundenseitig verwaltete Schlüsselanwendungsfälle integriert. Sie können Azure Key Vault verwenden, um Ihren Schlüssel zu generieren oder Ihre eigenen Schlüssel mitzubringen.
Die Verwendung der option kundenseitig verwalteter Schlüssel erfordert jedoch zusätzlichen operativen Aufwand, um den Schlüssellebenszyklus zu verwalten. Dies kann die Generierung von Verschlüsselungsschlüsseln, die Rotation, das Widerrufen und die Zugriffssteuerung usw. umfassen.
Azure-Implementierung und zusätzlicher Kontext:
- Tabelle für Verschlüsselungsmodell und Schlüsselverwaltung
- Dienste mit Unterstützung der Verschlüsselung über kundenseitig verwaltete Schlüssel
- Konfigurieren kundenseitig verwalteter Verschlüsselungsschlüssel in Azure Storage
AWS-Leitfaden: AWS bietet auch eine Verschlüsselungsoption mit Schlüsseln, die von Ihnen verwaltet werden (kundenseitig verwalteter Kunde master Schlüssel, der in AWS Key Management Service gespeichert ist) für bestimmte Dienste.
AWS Key Management Service (KMS) ist nativ in viele AWS-Dienste für kundenseitig verwaltete Kunden master wichtige Anwendungsfälle integriert. Sie können entweder AWS Key Management Service (KMS) verwenden, um Ihre master Schlüssel zu generieren oder Ihre eigenen Schlüssel zu verwenden.
Die Verwendung der kundenseitig verwalteten Schlüsseloption erfordert jedoch zusätzliche betriebliche Anstrengungen, um den Schlüssellebenszyklus zu verwalten. Dies kann die Generierung von Verschlüsselungsschlüsseln, die Rotation, das Widerrufen und die Zugriffssteuerung usw. umfassen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Google Cloud bietet für die meisten Dienste eine Verschlüsselungsoption mit selbst verwalteten Schlüsseln (kundenseitig verwaltete Schlüssel).
Google Cloud Key Management Service (Cloud KMS) ist nativ in viele GCP-Dienste für kundenseitig verwaltete Verschlüsselungsschlüssel integriert. Diese Schlüssel können mit Cloud KMS erstellt und verwaltet werden, und Sie speichern die Schlüssel als Softwareschlüssel, in einem HSM-Cluster oder extern. Sie können Cloud KMS verwenden, um Ihren Schlüssel zu generieren oder Ihre eigenen Schlüssel (vom Kunden bereitgestellte Verschlüsselungsschlüssel) zur Verfügung zu stellen.
Die Verwendung der kundenseitig verwalteten Schlüsseloption erfordert jedoch zusätzliche betriebliche Anstrengungen, um den Schlüssellebenszyklus zu verwalten. Dies kann die Generierung von Verschlüsselungsschlüsseln, die Rotation, das Widerrufen und die Zugriffssteuerung usw. umfassen.
GCP-Implementierung und zusätzlicher Kontext:
- Standardverschlüsselung ruhender Daten
- Datenverschlüsselungsoptionen
- Von Kunden verwaltete Verschlüsselungsschlüssel
- Vom Kunden bereitgestellter Verschlüsselungsschlüssel
Kundensicherheitsbeteiligte (weitere Informationen):
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps-Funktionen
- Datensicherheit
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| – | IA-5, SC-12, SC-28 | 3.6 |
Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Kryptografieschlüsselverwaltungsstandard für Unternehmen, Prozesse und Verfahren, um den Lebenszyklus Ihres Schlüssels zu steuern. Wenn ein kundenseitig verwalteter Schlüssel in den Diensten verwendet werden muss, nutzen Sie einen geschützten Schlüsseltresordienst für die Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel basierend auf dem definierten Zeitplan und bei Außerbetriebnahme oder Kompromittierung eines Schlüssels.
Azure-Leitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf dem definierten Zeitplan und bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Erfordern Sie beim Generieren von Schlüsseln einen bestimmten kryptografischen Typ und eine bestimmte Mindestschlüsselgröße.
Wenn kundenseitig verschlüsselte Schlüssel (Customer-Managed Key, CMK) in den Workloaddiensten oder -anwendungen verwendet werden müssen, befolgen Sie die bewährten Methoden:
- Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren.
- Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs in jedem Dienst oder jeder Anwendung implementiert werden.
Um die Lebensdauer und Portabilität des Schlüsselmaterials zu maximieren, bringen Sie Ihren eigenen Schlüssel (BYOK) in die Dienste (d. h. importieren Sie HSM-geschützte Schlüssel aus Ihren lokalen HSMs in Azure Key Vault). Befolgen Sie die empfohlene Richtlinie, um die Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Hinweis: Informationen zur FIPS 140-2-Ebene für Azure Key Vault-Typen und fips-Konformitäts-/Validierungsebene finden Sie unten.
- Softwaregeschützte Schlüssel in Tresoren (Premium & Standard-SKUs): FIPS 140-2 Level 1
- Durch HSM geschützte Schlüssel in Tresoren (Premium-SKU): FIPS 140-2 Level 2
- Durch HSM geschützte Schlüssel in verwaltetem HSM: FIPS 140-2 Level 3
Azure Key Vault Premium verwendet eine freigegebene HSM-Infrastruktur im Back-End. Azure Key Vault Managed HSM verwendet dedizierte, vertrauliche Dienstendpunkte mit einem dedizierten HSM, wenn Sie ein höheres Maß an Schlüsselsicherheit benötigen.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist der Azure-Schlüsseltresor?
- Azure-Datenverschlüsselung ruhender Daten – Schlüsselhierarchie
- BYOK-Spezifikation (Bring Your Own Key)
AWS-Leitfaden: Verwenden Sie AWS Key Management Service (KMS), um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in KMS und Ihrem Dienst basierend auf dem definierten Zeitplan und dem Zeitpunkt, an dem eine wichtige Einstellung oder Kompromittierung vorliegt.
Wenn kundenseitig verwalteter Kundenschlüssel master schlüssel in den Workloaddiensten oder Anwendungen verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden befolgen:
- Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem KMS zu generieren.
- Stellen Sie sicher, dass Schlüssel bei KMS registriert und über IAM-Richtlinien in jedem Dienst oder jeder Anwendung implementiert werden.
Um die Lebensdauer und Portabilität des Schlüsselmaterials zu maximieren, bringen Sie Ihren eigenen Schlüssel (BYOK) in die Dienste (d. h. importieren Sie HSM-geschützte Schlüssel aus Ihren lokalen HSMs in KMS oder Cloud HSM). Befolgen Sie die empfohlene Richtlinie, um die Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Hinweis: AWS KMS verwendet die freigegebene HSM-Infrastruktur im Back-End. Verwenden Sie den benutzerdefinierten SCHLÜSSELspeicher von AWS KMS, der von AWS CloudHSM unterstützt wird, wenn Sie Ihren eigenen Schlüsselspeicher und dedizierte HSMs (z. B. anforderungen an die Einhaltung gesetzlicher Bestimmungen für ein höheres Maß an Schlüsselsicherheit) verwalten müssen, um Ihre Verschlüsselungsschlüssel zu generieren und zu speichern.
Hinweis: Informationen zur FIPS 140-2-Ebene für die FIPS-Konformitätsstufe in AWS KMS und CloudHSM finden Sie unten:
- AWS KMS-Standard: FIPS 140-2 Level 2 überprüft
- AWS KMS mit CloudHSM: FIPS 140-2 Level 3 (für bestimmte Dienste) validiert
- AWS CloudHSM: FIPS 140-2 Level 3 validiert
Hinweis: Verwenden Sie für die Verwaltung von Geheimnissen (Anmeldeinformationen, Kennwort, API-Schlüssel usw.) AWS Secrets Manager.
AWS-Implementierung und zusätzlicher Kontext:
- VON AWS verwaltete und kundenseitig verwaltete CMKs
- Importieren von Schlüsselmaterial in AWS KMS-Schlüsseln
- Sichere Übertragung von Schlüsseln in CloudHSM
- Erstellen eines benutzerdefinierten Schlüsselspeichers, der von CloudHSM unterstützt wird
GCP-Leitfaden: Verwenden Sie Cloud Key Management Service (Cloud KMS), um Lebenszyklus von Verschlüsselungsschlüsseln in kompatiblen Google Cloud-Diensten und In Ihren Workloadanwendungen zu erstellen und zu verwalten. Rotieren und widerrufen Sie Ihre Schlüssel in Cloud KMS und Ihrem Dienst basierend auf dem definierten Zeitplan und wenn eine wichtige Einstellung oder Kompromittierung vorliegt.
Verwenden Sie den Cloud HSM-Dienst von Google, um hardwaregestützte Schlüssel für Cloud KMS (Key Management Service) bereitzustellen. Dadurch können Sie Ihre eigenen kryptografischen Schlüssel verwalten und verwenden, während Sie durch vollständig verwaltete Hardwaresicherheitsmodule (HSM) geschützt werden.
Der Cloud-HSM-Dienst verwendet HSMs, die FIPS 140-2 Level 3-validiert sind und immer im FIPS-Modus ausgeführt werden. FIPS 140-2 Level 3-validiert und wird immer im FIPS-Modus ausgeführt. Der FIPS-Standard gibt die kryptografischen Algorithmen und die Zufällige Zahlengenerierung an, die von den HSMs verwendet werden.
GCP-Implementierung und zusätzlicher Kontext:
- Cloud Key Management Service – Übersicht
- Kundenseitig verwaltete Verschlüsselungsschlüssel (CMEK)
- Cloud HSM
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| – | IA-5, SC-12, SC-17 | 3.6 |
Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Unternehmenszertifikatverwaltungsstandard, Prozesse und Verfahren, die die Zertifikatlebenszyklussteuerung und Zertifikatrichtlinien umfassen (wenn eine Public Key-Infrastruktur erforderlich ist).
Stellen Sie sicher, dass die von den kritischen Diensten in Ihrer Organisation verwendeten Zertifikate rechtzeitig inventarisiert, nachverfolgt, überwacht und erneuert werden, indem Sie automatisierte Mechanismen einsetzen, um Dienstunterbrechungen zu vermeiden.
Azure-Leitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und unterstützten Azure-Diensten basierend auf dem definierten Zeitplan und dem Ablauf eines Zertifikats ein. Wenn die automatische Rotation in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie eine manuelle Drehung in Azure Key Vault.
Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheit. Stattdessen können Sie in Azure Key Vault öffentlich signierte Zertifikate erstellen. Die folgenden Zertifizierungsstellen (Certificate Authorities, CAs) sind die Partneranbieter, die derzeit in Azure Key Vault integriert sind.
- DigiCert: Azure Key Vault bietet OV-TLS-/SSL-Zertifikate mit DigiCert.
- GlobalSign: Azure Key Vault bietet OV-TSL-/SSL-Zertifikate mit GlobalSign.
Hinweis: Verwenden Sie nur eine genehmigte Zertifizierungsstelle, und stellen Sie sicher, dass bekannte fehlerhafte Stamm-/Zwischenzertifikate, die von diesen Zertifizierungsstellen ausgestellt wurden, deaktiviert sind.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie AWS Certificate Manager (ACM), um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Rotation des Zertifikats in ACM und unterstützten AWS-Diensten basierend auf dem definierten Zeitplan und dem Ablauf eines Zertifikats ein. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie die manuelle Drehung in ACM. In der Zwischenzeit sollten Sie ihre zertifikatserneuerten status immer nachverfolgen, um die Gültigkeit des Zertifikats sicherzustellen.
Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheit. Erstellen Sie stattdessen öffentlich signierte Zertifikate (signiert von der Amazon-Zertifizierungsstelle) in ACM, und stellen Sie sie programmgesteuert in Diensten wie CloudFront, Load Balancern, API Gateway usw. bereit. Sie können auch ACM verwenden, um Ihre private Zertifizierungsstelle (CA) einzurichten, um die privaten Zertifikate zu signieren.
Hinweis: Verwenden Sie nur eine genehmigte Zertifizierungsstelle, und stellen Sie sicher, dass bekannte fehlerhafte Stamm-/Zwischenzertifikate der Zertifizierungsstelle, die von diesen Zertifizierungsstellen ausgestellt wurden, deaktiviert sind.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie google Cloud Certificate Manager, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Rotation des Zertifikats im Zertifikat-Manager und unterstützte GCP-Dienste basierend auf dem definierten Zeitplan und dem Ablauf eines Zertifikats ein. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie die manuelle Rotation im Zertifikat-Manager. In der Zwischenzeit sollten Sie ihre zertifikatserneuerten status immer nachverfolgen, um die Gültigkeit des Zertifikats sicherzustellen.
Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheit. Stattdessen können Sie signierte öffentliche Zertifikate im Zertifikat-Manager erstellen und programmgesteuert in Diensten wie Load Balancer und Cloud-DNS usw. bereitstellen. Sie können auch den Zertifizierungsstellendienst verwenden, um Ihre private Zertifizierungsstelle (CA) einzurichten, um die privaten Zertifikate zu signieren.
Hinweis: Sie können auch google Cloud Secret Manager verwenden, um TLS-Zertifikate zu speichern.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-8: Sicherstellen der Sicherheit des Schlüssel- und Zertifikatrepositorys
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| – | IA-5, SC-12, SC-17 | 3.6 |
Sicherheitsprinzip: Stellen Sie die Sicherheit des Schlüsseltresors sicher, der für die Verwaltung des kryptografischen Schlüssel- und Zertifikatlebenszyklus verwendet wird. Verstärken Sie Ihren Schlüsseltresordienst durch Zugriffssteuerung, Netzwerksicherheit, Protokollierung, Überwachung und Sicherung, um sicherzustellen, dass Schlüssel und Zertifikate immer mit der maximalen Sicherheit geschützt werden.
Azure-Leitfaden: Schützen Sie Ihre kryptografischen Schlüssel und Zertifikate, indem Sie Ihren Azure Key Vault-Dienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von RBAC-Richtlinien in Azure Key Vault Managed HSM auf Schlüsselebene, um sicherzustellen, dass die Prinzipien der geringsten Rechte und der Aufgabentrennung eingehalten werden. Stellen Sie beispielsweise sicher, dass für Benutzer, die Verschlüsselungsschlüssel verwalten, eine Aufgabentrennung besteht, damit sie nicht auf verschlüsselte Daten zugreifen können und umgekehrt. Erstellen Sie für Azure Key Vault Standard und Premium eindeutige Tresore für verschiedene Anwendungen, um sicherzustellen, dass die Prinzipien der geringsten Rechte und der Aufgabentrennung eingehalten werden.
- Aktivieren Sie die Azure Key Vault-Protokollierung, um sicherzustellen, dass wichtige Verwaltungsebenen- und Datenebenenaktivitäten protokolliert werden.
- Schützen der Azure-Key Vault mithilfe von Private Link und Azure Firewall, um eine minimale Offenlegung des Diensts sicherzustellen
- Verwenden Sie die verwaltete Identität, um auf Schlüssel zuzugreifen, die in Azure Key Vault in Ihren Workloadanwendungen gespeichert sind.
- Stellen Sie beim endgültigen Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die eigentlichen Daten, Sicherungen und Archive gelöscht wurden.
- Sichern Sie Ihre Schlüssel und Zertifikate mithilfe von Azure Key Vault. Aktivieren Sie vorläufiges Löschen und Löschen des Schutzes, um das versehentliche Löschen von Schlüsseln zu vermeiden. Wenn Schlüssel gelöscht werden müssen, erwägen Sie, Schlüssel zu deaktivieren, anstatt sie zu löschen, um das versehentliche Löschen von Schlüsseln und die kryptografische Löschung von Daten zu vermeiden.
- Generieren Sie für BYOK-Anwendungsfälle (Bring Your Own Key) Schlüssel in einem lokalen HSM, und importieren Sie sie, um die Lebensdauer und Portabilität der Schlüssel zu maximieren.
- Speichern Sie Schlüssel niemals im Klartextformat außerhalb des Azure-Key Vault. Schlüssel in allen Schlüsseltresordiensten können nicht standardmäßig exportiert werden.
- Verwenden Sie HSM-gestützte Schlüsseltypen (RSA-HSM) in Azure Key Vault Premium und Azure Managed HSM für den Hardwareschutz und die stärksten FIPS-Ebenen.
Aktivieren Sie Microsoft Defender für Key Vault für Azure-nativen, erweiterten Bedrohungsschutz für Azure Key Vault, wodurch eine zusätzliche Ebene von Security Intelligence bereitgestellt wird.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist der Azure-Schlüsseltresor?
- Bewährte Azure Key Vault-Sicherheitsmethoden
- Verwenden einer verwalteten Identität für den Zugriff auf Azure Key Vault
- Übersicht über Microsoft Defender für Key Vault
AWS-Leitfaden: Schützen Sie Ihre Schlüssel, indem Sie Ihren AWS Key Management Service-Dienst (KMS) mit den folgenden Steuerelementen härten, um kryptografische Schlüssel zu schützen:
- Implementieren Sie die Zugriffssteuerung mithilfe von Schlüsselrichtlinien (Zugriffssteuerung auf Schlüsselebene) in Verbindung mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die Prinzipien der geringsten Rechte und der Aufgabentrennung eingehalten werden. Stellen Sie beispielsweise sicher, dass für Benutzer, die Verschlüsselungsschlüssel verwalten, eine Aufgabentrennung besteht, damit sie nicht auf verschlüsselte Daten zugreifen können und umgekehrt.
- Verwenden Sie detektive Steuerelemente wie CloudTrails, um die Verwendung von Schlüsseln in KMS zu protokollieren und nachzuverfolgen und Sie über kritische Aktionen zu warnen.
- Speichern Sie Schlüssel niemals im Klartextformat außerhalb von KMS.
- Wenn Schlüssel gelöscht werden müssen, erwägen Sie, Schlüssel in KMS zu deaktivieren, anstatt sie zu löschen, um das versehentliche Löschen von Schlüsseln und die kryptografische Löschung von Daten zu vermeiden.
- Stellen Sie beim endgültigen Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die eigentlichen Daten, Sicherungen und Archive gelöscht wurden.
- Generieren Sie für BYOK-Anwendungsfälle (Bring Your Own Key) Schlüssel in einem lokalen HSM, und importieren Sie sie, um die Lebensdauer und Portabilität der Schlüssel zu maximieren.
Um die Zertifikatsicherheit zu gewährleisten, schützen Sie Ihre Zertifikate, indem Sie Ihren AWS Certificate Manager (ACM)-Dienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von Richtlinien auf Ressourcenebene in Verbindung mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die Prinzipien der geringsten Rechte und der Aufgabentrennung eingehalten werden. Stellen Sie beispielsweise sicher, dass die Aufgabentrennung für Benutzerkonten besteht: Benutzerkonten, die Zertifikate generieren, sind von den Benutzerkonten getrennt, die nur schreibgeschützten Zugriff auf Zertifikate benötigen.
- Verwenden Sie detektive Steuerelemente wie CloudTrails, um die Verwendung der Zertifikate in ACM zu protokollieren und nachzuverfolgen und Sie über kritische Aktionen zu warnen.
- Befolgen Sie den KMS-Sicherheitsleitfaden, um Ihren privaten Schlüssel (generiert für die Zertifikatanforderung) zu schützen, der für die Integration von Dienstzertifikaten verwendet wird.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Schützen Sie Ihre Schlüssel, indem Sie Ihren Schlüsselverwaltungsdienst mit den folgenden Steuerelementen härten, um kryptografische Schlüssel zu schützen:
- Implementieren Sie die Zugriffssteuerung mithilfe von IAM-Rollen, um sicherzustellen, dass die Prinzipien der geringsten Berechtigungen und der Aufgabentrennung eingehalten werden. Stellen Sie beispielsweise sicher, dass für Benutzer, die Verschlüsselungsschlüssel verwalten, eine Aufgabentrennung besteht, damit sie nicht auf verschlüsselte Daten zugreifen können und umgekehrt.
- Erstellen Sie einen separaten Schlüsselring für jedes Projekt, mit dem Sie den Zugriff auf die Schlüssel nach bewährten Methoden mit den geringsten Berechtigungen einfach verwalten und steuern können. Außerdem wird es einfacher zu überwachen, wer wann Zugriff auf welche Schlüssel hat.
- Aktivieren Sie die automatische Drehung von Schlüsseln, um sicherzustellen, dass Schlüssel regelmäßig aktualisiert und aktualisiert werden. Dies hilft beim Schutz vor potenziellen Sicherheitsbedrohungen wie Brute-Force-Angriffen oder böswilligen Akteuren, die versuchen, Zugriff auf vertrauliche Informationen zu erhalten.
- Richten Sie eine Überwachungsprotokollsenke ein, um alle Aktivitäten in Ihrer GCP KMS-Umgebung nachzuverfolgen.
Um die Zertifikatsicherheit zu gewährleisten, schützen Sie Ihre Zertifikate, indem Sie Ihren GCP-Zertifikat-Manager und den Zertifizierungsstellesdienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von Richtlinien auf Ressourcenebene in Verbindung mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die Prinzipien der geringsten Rechte und der Aufgabentrennung eingehalten werden. Stellen Sie beispielsweise sicher, dass die Aufgabentrennung für Benutzerkonten besteht: Benutzerkonten, die Zertifikate generieren, sind von den Benutzerkonten getrennt, die nur schreibgeschützten Zugriff auf Zertifikate benötigen.
- Verwenden Sie detektive Steuerelemente wie Cloudüberwachungsprotokolle, um die Verwendung der Zertifikate im Zertifikat-Manager zu protokollieren und nachzuverfolgen und Sie bei kritischen Aktionen zu warnen.
- Secret Manager unterstützt auch die Speicherung von TLS-Zertifikaten. Sie müssen die ähnliche Sicherheitspraxis befolgen, um die Sicherheitskontrollen in Secret Manager zu implementieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):