Control de seguridad: protección de datos
La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, incluidos los recursos de detección, clasificación, protección y supervisión de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y la administración de certificados.|
DP-1: detección, clasificación y etiquetado de datos confidenciales
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Principio de seguridad: establezca y mantenga un inventario de los datos confidenciales, en función del ámbito de datos confidenciales definido. Use herramientas para detectar, clasificar y etiquetar los datos confidenciales dentro del ámbito.
Guía de Azure: use herramientas como Microsoft Purview, que combina las soluciones de cumplimiento anteriores de Azure Purview y Microsoft 365, y Azure SQL detección y clasificación de datos para examinar, clasificar y etiquetar de forma centralizada los datos confidenciales que residen en Azure, local, Microsoft 365 y otras ubicaciones.
Implementación de Azure y contexto adicional:
- Introducción a la clasificación de datos
- Etiquetado en el mapa de datos de Microsoft Purview
- Etiquetado de información confidencial mediante Azure Information Protection
- Implementación de la detección de datos de Azure SQL
- Orígenes de datos de Azure Purview
Guía de AWS: replique los datos de varios orígenes en un cubo de almacenamiento S3 y use AWS Macie para examinar, clasificar y etiquetar los datos confidenciales almacenados en el cubo. AWS Macie puede detectar datos confidenciales, como credenciales de seguridad, información financiera, datos PHI y PII, u otro patrón de datos basado en las reglas de identificador de datos personalizadas.
También puede usar el conector de análisis de varias nubes de Azure Purview para examinar, clasificar y etiquetar los datos confidenciales que residen en un cubo de almacenamiento S3.
Nota: También puede usar soluciones empresariales de terceros de AWS Marketplace con el fin de la clasificación y el etiquetado de la detección de datos.
Implementación de AWS y contexto adicional:
Guía de GCP: use herramientas como La prevención de pérdida de datos de Google Cloud para examinar, clasificar y etiquetar de forma centralizada los datos confidenciales que residen en los entornos GCP y locales.
Además, use Google Cloud Data Catalog para usar los resultados de un examen de prevención de pérdida de datos en la nube (DLP) para identificar datos confidenciales con plantillas de etiqueta definidas.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevOps
- Seguridad de los datos
- Infraestructura y seguridad de los puntos de conexión
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Principio de seguridad: supervise las anomalías en torno a datos confidenciales, como la transferencia no autorizada de datos a ubicaciones fuera de la visibilidad y el control de la empresa. Normalmente, esto implica la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar una filtración de datos no autorizada.
Guía de Azure: use Azure Information Protection (AIP) para supervisar los datos clasificados y etiquetados.
Use Microsoft Defender para Storage, Microsoft Defender para SQL, Microsoft Defender para bases de datos relacionales de código abierto y Microsoft Defender de Cosmos DB para alertar sobre la transferencia anómala de información que podría indicar transferencias no autorizadas de datos confidenciales Información.
Nota: Si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host desde Azure Marketplace o una solución DLP de Microsoft 365 para aplicar controles de detección y/o preventivos para evitar la filtración de datos.
Implementación de Azure y contexto adicional:
- Habilitar Azure Defender para SQL
- Habilitar Azure Defender para Storage
- Inicio rápido: Habilitación de Microsoft Defender para Azure Cosmos DB
- Habilitación de Microsoft Defender para bases de datos relacionales de código abierto y respuesta a alertas
Guía de AWS: use AWS Macie para supervisar los datos clasificados y etiquetados, y use GuardDuty para detectar actividades anómalas en algunos recursos (recursos S3, EC2 o Kubernetes o IAM). Las conclusiones y alertas se pueden evaluar, analizar y realizar un seguimiento mediante EventBridge y reenviarse a Microsoft Sentinel o Security Hub para la agregación y el seguimiento de incidentes.
También puede conectar sus cuentas de AWS a Microsoft Defender for Cloud para comprobar el cumplimiento, la seguridad de los contenedores y las funcionalidades de seguridad de los puntos de conexión.
Nota: Si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host de AWS Marketplace.
Implementación de AWS y contexto adicional:
Guía de GCP: use el Centro de comandos de Google Cloud Security, la detección de amenazas de eventos o la detección de anomalías para alertar sobre la transferencia anómala de información que podría indicar transferencias no autorizadas de información confidencial.
También puede conectar las cuentas de GCP a Microsoft Defender for Cloud para comprobar el cumplimiento, la seguridad de los contenedores y las funcionalidades de seguridad de los puntos de conexión.
Implementación de GCP y contexto adicional:
- Información general sobre la detección de amenazas de eventos
- Detección de anomalías mediante análisis de streaming & AI
- Detección de anomalías
Partes interesadas de la seguridad del cliente (más información):
- Operaciones de seguridad
- Seguridad de las aplicaciones y DevOps
- Infraestructura y seguridad de los puntos de conexión
DP-3: Cifrado de datos confidenciales en tránsito
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Principio de seguridad: proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico) mediante cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.
Establezca el límite de la red y el ámbito del servicio en el que el cifrado de datos en tránsito es obligatorio dentro y fuera de la red. Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas.
Guía de Azure: aplique la transferencia segura en servicios como Azure Storage, donde se compila una característica nativa de cifrado de datos en tránsito.
Aplique HTTPS para cargas de trabajo y servicios de aplicaciones web asegurándose de que los clientes que se conectan a los recursos de Azure usen la seguridad de la capa de transporte (TLS) v1.2 o posterior. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Para la administración remota de máquinas virtuales de Azure, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia de archivos segura, use el servicio SFTP/FTPS en Blob de Azure Storage, App Service aplicaciones y aplicaciones de funciones, en lugar de usar el servicio FTP normal.
Nota: El cifrado de datos en tránsito está habilitado para todo el tráfico de Azure que viaja entre centros de datos de Azure. TLS v1.2 o posterior está habilitado en la mayoría de los servicios de Azure de forma predeterminada. Además, algunos servicios como Azure Storage y Application Gateway pueden aplicar TLS v1.2 o posterior en el lado servidor.
Implementación de Azure y contexto adicional:
- Cifrado doble para datos de Azure en tránsito
- Descripción del cifrado en tránsito con Azure
- Información sobre la seguridad de TLS
- Aplicación de la transferencia segura en Azure Storage
Guía de AWS: aplique la transferencia segura en servicios como Amazon S3, RDS y CloudFront, donde se compila una característica nativa de cifrado de datos en tránsito.
Aplique HTTPS (por ejemplo, en AWS Elastic Load Balancer) para la aplicación web de carga de trabajo y los servicios (ya sea en el lado servidor o en el lado cliente) asegurándose de que los clientes que se conectan a los recursos de AWS usen TLS v1.2 o posterior.
Para la administración remota de instancias EC2, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia segura de archivos, use el servicio SFTP o FTPS de AWS Transfer en lugar de un servicio FTP normal.
Nota: Todo el tráfico de red entre los centros de datos de AWS se cifra de forma transparente en la capa física. Todo el tráfico dentro de una VPC y entre las VPC emparejadas entre regiones se cifra de forma transparente en la capa de red cuando se usan tipos de instancia de Amazon EC2 compatibles. TLS v1.2 o posterior está habilitado en la mayoría de los servicios de AWS de forma predeterminada. Además, algunos servicios como AWS Load Balancer pueden aplicar TLS v1.2 o posterior en el lado servidor.
Implementación de AWS y contexto adicional:
Guía de GCP: aplique la transferencia segura en servicios como Google Cloud Storage, donde se compila una característica nativa de cifrado de datos en tránsito.
Aplique HTTPS para cargas de trabajo y servicios de aplicaciones web, lo que garantiza que los clientes que se conectan a los recursos de GCP usen la seguridad de la capa de transporte (TLS) v1.2 o posterior.
Para la administración remota, Google Cloud Compute Engine usa SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Para la transferencia de archivos segura, use el servicio SFTP/FTPS en servicios como Google Cloud Big Query o Cloud App Engine en lugar de un servicio FTP normal.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
- Arquitectura de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Seguridad de las aplicaciones y DevOps
- Seguridad de los datos
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3,11 | SC-28 | 3.4, 3.5 |
Principio de seguridad: para complementar los controles de acceso, los datos en reposo deben protegerse frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante el cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.
Guía de Azure: muchos servicios de Azure tienen cifrado de datos en reposo habilitado de forma predeterminada en el nivel de infraestructura mediante una clave administrada por el servicio. Estas claves administradas por el servicio se generan en nombre del cliente y se rotan automáticamente cada dos años.
Si técnicamente es factible y no está habilitado de forma predeterminada, puede habilitar el cifrado de datos en reposo en los servicios de Azure o en las máquinas virtuales en el nivel de almacenamiento, el nivel de archivo o el nivel de base de datos.
Implementación de Azure y contexto adicional:
- Descripción del cifrado en reposo en Azure
- Cifrado doble de datos en reposo en Azure
- Tabla de modelo de cifrado y administración de claves
Guía de AWS: muchos servicios de AWS tienen cifrado en reposo habilitado de forma predeterminada en la capa de infraestructura o plataforma mediante una clave maestra de cliente administrada por AWS. Estas claves maestras de cliente administradas por AWS se generan en nombre del cliente y se rotan automáticamente cada tres años.
Si técnicamente es factible y no está habilitado de forma predeterminada, puede habilitar el cifrado de datos en reposo en los servicios de AWS o en las máquinas virtuales en el nivel de almacenamiento, el nivel de archivo o el nivel de base de datos.
Implementación de AWS y contexto adicional:
Guía de GCP: muchos productos y servicios de Google Cloud tienen cifrado en reposo habilitado de forma predeterminada en el nivel de infraestructura mediante una clave administrada por el servicio. Estas claves administradas por el servicio se generan en nombre del cliente y se rotan automáticamente.
Si técnicamente es factible y no está habilitado de forma predeterminada, puede habilitar el cifrado de datos en reposo en los servicios de GCP o en las máquinas virtuales en el nivel de almacenamiento, el nivel de archivo o el nivel de base de datos.
Nota: Consulte el documento ""Granularidad del cifrado para los servicios en la nube de Google" para obtener más detalles.
Implementación de GCP y contexto adicional:
- Cifrado predeterminado en reposo
- Opciones de cifrado de datos
- Granularidad del cifrado para los servicios en la nube de Google
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Seguridad de las aplicaciones y DevOps
- Seguridad de los datos
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3,11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Principio de seguridad: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita la opción de clave administrada por el cliente. Habilite e implemente el cifrado de datos en reposo mediante claves administradas por el cliente en los servicios.
Guía de Azure: Azure también proporciona una opción de cifrado mediante claves administradas por usted mismo (claves administradas por el cliente) para la mayoría de los servicios.
Azure Key Vault HSM estándar, Premium y administrado se integran de forma nativa con muchos servicios de Azure para casos de uso de claves administradas por el cliente. Puede usar Azure Key Vault para generar la clave o traer sus propias claves.
Sin embargo, el uso de la opción de clave administrada por el cliente requiere un esfuerzo operativo adicional para administrar el ciclo de vida de la clave. Esto puede incluir la generación de claves de cifrado, la rotación, la revocación y el control de acceso, etc.
Implementación de Azure y contexto adicional:
- Tabla de modelo de cifrado y administración de claves
- Servicios que admiten el cifrado mediante la clave administrada por el cliente
- Configuración de claves de cifrado administradas por el cliente en Azure Storage
Guía de AWS: AWS también proporciona una opción de cifrado mediante claves administradas por usted mismo (clave maestra de cliente administrada por el cliente almacenada en aws Key Management Service) para determinados servicios.
AWS Key Management Service (KMS) se integra de forma nativa con muchos servicios de AWS para casos de uso de claves maestras de cliente administradas por el cliente. Puede usar AWS Key Management Service (KMS) para generar las claves maestras o traer sus propias claves.
Sin embargo, el uso de la opción de clave administrada por el cliente requiere esfuerzos operativos adicionales para administrar el ciclo de vida de la clave. Esto puede incluir la generación de claves de cifrado, la rotación, la revocación y el control de acceso, etc.
Implementación de AWS y contexto adicional:
Guía de GCP: Google Cloud proporciona una opción de cifrado mediante claves administradas por usted mismo (claves administradas por el cliente) para la mayoría de los servicios.
Google Cloud Key Management Service (CLOUD KMS) se integra de forma nativa con muchos servicios de GCP para claves de cifrado administradas por el cliente. Estas claves se pueden crear y administrar mediante KMS en la nube, y se almacenan las claves como claves de software, en un clúster de HSM o externamente. Puede usar KMS en la nube para generar la clave o proporcionar sus propias claves (claves de cifrado proporcionadas por el cliente).
Sin embargo, el uso de la opción de clave administrada por el cliente requiere esfuerzos operativos adicionales para administrar el ciclo de vida de la clave. Esto puede incluir la generación de claves de cifrado, la rotación, la revocación y el control de acceso, etc.
Implementación de GCP y contexto adicional:
- Cifrado predeterminado en reposo
- Opciones de cifrado de datos
- Claves de cifrado administradas por el cliente
- Clave de cifrado proporcionada por el cliente
Partes interesadas de la seguridad del cliente (más información):
- Arquitectura de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Seguridad de las aplicaciones y DevOps
- Seguridad de los datos
DP-6: Uso de un proceso seguro de administración de claves
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-28 | 3.6 |
Principio de seguridad: documente e implemente un estándar de administración de claves criptográficas de empresa, procesos y procedimientos para controlar el ciclo de vida de las claves. Cuando sea necesario usar la clave administrada por el cliente en los servicios, use un servicio de almacén de claves protegido para la generación, distribución y almacenamiento de claves. Rote y revoque las claves según la programación definida y cuando haya una retirada de clave o un riesgo para ella.
Guía de Azure: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. Requerir un determinado tipo criptográfico y un tamaño mínimo de clave al generar claves.
Cuando sea necesario usar la clave administrada por el cliente en los servicios o aplicaciones de carga de trabajo, asegúrese de seguir los procedimientos recomendados:
- Use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves.
- Asegúrese de que las claves están registradas con Azure Key Vault e implementadas a través de identificadores de clave en cada servicio o aplicación.
Para maximizar la duración y la portabilidad del material clave, traiga su propia clave (BYOK) a los servicios (es decir, la importación de claves protegidas con HSM desde los HSM locales a Azure Key Vault). Siga las instrucciones recomendadas para realizar la generación de claves y la transferencia de claves.
Nota: Consulte lo siguiente para el nivel FIPS 140-2 para los tipos de Azure Key Vault y el nivel de cumplimiento o validación de FIPS.
- Claves protegidas por software en almacenes (SKU premium & estándar): FIPS 140-2 nivel 1
- Claves protegidas con HSM en almacenes (SKU prémium): FIPS 140-2 nivel 2
- Claves protegidas con HSM en HSM administrado: FIPS 140-2 nivel 3
Azure Key Vault Premium usa una infraestructura de HSM compartida en el back-end. Azure Key Vault HSM administrado usa puntos de conexión de servicio dedicados y confidenciales con un HSM dedicado para cuando se necesita un mayor nivel de seguridad de clave.
Implementación de Azure y contexto adicional:
- Introducción a Azure Key Vault
- Cifrado de datos de Azure en reposo: jerarquía de claves
- Especificación BYOK (Bring Your Own Key)
Guía de AWS: Use aws Key Management Service (KMS) para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Gire y revoque las claves en KMS y el servicio en función de la programación definida y cuando haya una retirada o peligro clave.
Cuando sea necesario usar la clave maestra de cliente administrada por el cliente en los servicios de carga de trabajo o las aplicaciones, asegúrese de seguir los procedimientos recomendados:
- Use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el KMS.
- Asegúrese de que las claves se registran con KMS e implementan a través de directivas de IAM en cada servicio o aplicación.
Para maximizar la duración y la portabilidad del material clave, traiga su propia clave (BYOK) a los servicios (es decir, la importación de claves protegidas con HSM desde los HSM locales en KMS o HSM en la nube). Siga las instrucciones recomendadas para realizar la generación de claves y la transferencia de claves.
Nota: AWS KMS usa la infraestructura de HSM compartida en el back-end. Use aws KMS Custom Key Store respaldado por AWS CloudHSM cuando necesite administrar su propio almacén de claves y HSM dedicados (por ejemplo, el requisito de cumplimiento normativo para un mayor nivel de seguridad de clave) para generar y almacenar las claves de cifrado.
Nota: Consulte lo siguiente para el nivel FIPS 140-2 para el nivel de cumplimiento de FIPS en AWS KMS y CloudHSM:
- Valor predeterminado de AWS KMS: FIPS 140-2 nivel 2 validado
- AWS KMS con CloudHSM: FIPS 140-2 nivel 3 (para determinados servicios) validado
- AWS CloudHSM: FIPS 140-2 nivel 3 validado
Nota: Para la administración de secretos (credenciales, contraseñas, claves de API, etc.), use AWS Secrets Manager.
Implementación de AWS y contexto adicional:
- CMK administrados por AWS y administrados por el cliente
- Importación de material de clave en claves de AWS KMS
- Transferencia segura de claves a CloudHSM
- Creación de un almacén de claves personalizado respaldado por CloudHSM
Guía de GCP: use cloud Key Management Service (KMS en la nube) para crear y administrar los ciclos de vida de las claves de cifrado en los servicios de Google Cloud compatibles y en las aplicaciones de carga de trabajo. Gire y revoque las claves en KMS en la nube y el servicio en función de la programación definida y cuando haya una retirada o un compromiso clave.
Use el servicio HSM en la nube de Google para proporcionar claves respaldadas por hardware a KMS en la nube (servicio de administración de claves) Le ofrece la capacidad de administrar y usar sus propias claves criptográficas mientras está protegida por módulos de seguridad de hardware (HSM) totalmente administrados.
El servicio HSM en la nube usa HSM, que son validados por FIPS 140-2 de nivel 3 y siempre se ejecutan en modo FIPS. FIPS 140-2 nivel 3 validado y siempre se ejecutan en modo FIPS. El estándar FIPS especifica los algoritmos criptográficos y la generación de números aleatorios que usan los HSM.
Implementación de GCP y contexto adicional:
- Introducción al servicio Administración de claves en la nube
- Claves de cifrado administradas por el cliente (CMEK)
- HSM en la nube
Partes interesadas de la seguridad del cliente (más información):
DP-7: Uso de un proceso seguro de administración de certificados
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3.6 |
Principio de seguridad: documente e implemente un estándar de administración de certificados de empresa, procesos y procedimientos que incluyan el control del ciclo de vida de los certificados y las directivas de certificado (si se necesita una infraestructura de clave pública).
Asegúrese de que los certificados utilizados por los servicios críticos de su organización se inventarian, rastrean, supervisan y renuevan oportunamente mediante un mecanismo automatizado para evitar la interrupción del servicio.
Guía de Azure: use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación o importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados sigue el estándar definido sin usar propiedades no seguras, como un tamaño de clave insuficiente, un período de validez demasiado largo o criptografía no segura, entre otras. Configure la rotación automática del certificado en Azure Key Vault y los servicios de Azure admitidos según la programación definida y cuándo expira un certificado. Si no se admite la rotación automática en la aplicación de front-end, use una rotación manual en Azure Key Vault.
Evite usar un certificado autofirmado y un certificado comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, puede crear certificados firmados públicos en Azure Key Vault. Las siguientes entidades de certificación (CA) son los proveedores asociados que están integrados actualmente con Azure Key Vault.
- DigiCert: Azure Key Vault ofrece certificados TLS/SSL de OV con DigiCert.
- GlobalSign: Azure Key Vault ofrece certificados TLS/SSL de OV con GlobalSign.
Nota: Use solo la ENTIDAD de certificación aprobada y asegúrese de que los certificados raíz o intermedios conocidos emitidos por estas CA están deshabilitados.
Implementación de Azure y contexto adicional:
Guía de AWS: Use AWS Certificate Manager (ACM) para crear y controlar el ciclo de vida del certificado, incluida la creación o importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados sigue el estándar definido sin usar propiedades no seguras, como un tamaño de clave insuficiente, un período de validez demasiado largo o criptografía no segura, entre otras. Configure la rotación automática del certificado en ACM y los servicios de AWS compatibles según la programación definida y cuando expire un certificado. Si no se admite la rotación automática en la aplicación front-end, use la rotación manual en ACM. Mientras tanto, siempre debe realizar un seguimiento del estado de renovación del certificado para garantizar la validez del certificado.
Evite usar un certificado autofirmado y un certificado comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, cree certificados firmados públicamente (firmados por la entidad de certificación de Amazon) en ACM e impleméntelos mediante programación en servicios como CloudFront, Load Balancers, API Gateway, etc. También puede usar ACM para establecer la entidad de certificación (CA) privada para firmar los certificados privados.
Nota: Use solo una entidad de certificación aprobada y asegúrese de que los certificados raíz o intermedios de ca no válidos conocidos emitidos por estas CA están deshabilitados.
Implementación de AWS y contexto adicional:
Guía de GCP: use Google Cloud Certificate Manager para crear y controlar el ciclo de vida del certificado, incluida la creación o importación, rotación, revocación, almacenamiento y purga del certificado. Asegúrese de que la generación de certificados sigue el estándar definido sin usar propiedades no seguras, como un tamaño de clave insuficiente, un período de validez demasiado largo o criptografía no segura, entre otras. Configure la rotación automática del certificado en el Administrador de certificados y los servicios GCP admitidos según la programación definida y cuándo expira un certificado. Si no se admite la rotación automática en la aplicación de front-end, use la rotación manual en el Administrador de certificados. Mientras tanto, siempre debe realizar un seguimiento del estado de renovación del certificado para garantizar la validez del certificado.
Evite usar un certificado autofirmado y un certificado comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, puede crear certificados públicos firmados en el Administrador de certificados e implementarlos mediante programación en servicios como Load Balancer y DNS en la nube, etc. También puede usar el servicio de entidad de certificación para establecer la entidad de certificación (CA) privada para firmar los certificados privados.
Nota: También puede usar Google Cloud Secret Manager para almacenar certificados TLS.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
DP-8: Confirmación de la seguridad de un repositorio de claves y certificados
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3.6 |
Principio de seguridad: asegúrese de que la seguridad del servicio del almacén de claves se usa para la administración del ciclo de vida de la clave criptográfica y del certificado. Refuerce su servicio de almacén de claves mediante el control de acceso, la seguridad de la red, el registro y la supervisión y las copias de seguridad para garantizar que las claves y los certificados estén siempre protegidos con la máxima seguridad.
Guía de Azure: proteja las claves criptográficas y los certificados mediante la protección del servicio azure Key Vault mediante los siguientes controles:
- Implemente el control de acceso mediante directivas de RBAC en Azure Key Vault HSM administrado en el nivel de clave para asegurarse de que se siguen los principios de privilegios y separación de tareas mínimos. Por ejemplo, asegúrese de que la separación de tareas esté en vigor para los usuarios que administran claves de cifrado para que no tengan la capacidad de acceder a los datos cifrados y viceversa. Para Azure Key Vault Estándar y Premium, cree almacenes únicos para diferentes aplicaciones para garantizar que se siguen los principios de privilegios mínimos y separación de tareas.
- Active El registro de Azure Key Vault para asegurarse de que se registran las actividades críticas del plano de administración y del plano de datos.
- Protección del Key Vault de Azure mediante Private Link y Azure Firewall para garantizar una exposición mínima del servicio
- Use la identidad administrada para acceder a las claves almacenadas en Azure Key Vault en las aplicaciones de carga de trabajo.
- Al purgar los datos, asegúrese de que sus claves no se eliminen antes de purgar los datos reales, las copias de seguridad y los archivos.
- Realice una copia de seguridad de las claves y los certificados mediante Azure Key Vault. Habilite la eliminación temporal y la protección de purga para evitar la eliminación accidental de claves. Cuando las claves deban eliminarse, considere la posibilidad de deshabilitar las claves en lugar de eliminarlas para evitar la eliminación accidental de claves y la eliminación criptográfica de los datos.
- Para casos de uso de Bring Your Own Key (BYOK), genere claves en un HSM local e impórtelas para maximizar la duración y la portabilidad de las claves.
- Nunca almacene claves en formato de texto no cifrado fuera del Key Vault de Azure. Las claves de todos los servicios del almacén de claves no se pueden exportar de forma predeterminada.
- Use tipos de claves con respaldo HSM (RSA-HSM) en Azure Key Vault Premium y HSM administrado de Azure para la protección de hardware y los niveles de FIPS más seguros.
Habilite Microsoft Defender para Key Vault para obtener protección nativa avanzada contra amenazas en la nube para Azure Key Vault y proporcionar una nivel adicional de inteligencia de seguridad.
Implementación de Azure y contexto adicional:
- Introducción a Azure Key Vault
- Procedimientos recomendados de seguridad de Azure Key Vault
- Uso de la identidad administrada para acceder a Azure Key Vault
- Introducción a Microsoft Defender para Key Vault
Guía de AWS: para la seguridad de las claves criptográficas, proteja las claves mediante la protección del servicio AWS Key Management Service (KMS) mediante los siguientes controles:
- Implemente el control de acceso mediante directivas de clave (control de acceso de nivel de clave) junto con las directivas de IAM (control de acceso basado en identidades) para garantizar que se siguen los principios de privilegios y separación de obligaciones. Por ejemplo, asegúrese de que la separación de tareas esté en vigor para los usuarios que administran claves de cifrado para que no tengan la capacidad de acceder a los datos cifrados y viceversa.
- Use controles de detective como CloudTrails para registrar y realizar un seguimiento del uso de claves en KMS y avisarle sobre las acciones críticas.
- Nunca almacene claves en formato de texto no cifrado fuera de KMS.
- Cuando las claves deban eliminarse, considere la posibilidad de deshabilitar las claves en KMS en lugar de eliminarlas para evitar la eliminación accidental de claves y la eliminación criptográfica de los datos.
- Al purgar los datos, asegúrese de que sus claves no se eliminen antes de purgar los datos reales, las copias de seguridad y los archivos.
- En el caso de bring your own key (BYOK), genere claves en un HSM local e impórtelas para maximizar la duración y la portabilidad de las claves.
Para la seguridad de los certificados, proteja los certificados mediante la protección del servicio AWS Certificate Manager (ACM) mediante los siguientes controles:
- Implemente el control de acceso mediante directivas de nivel de recurso junto con las directivas de IAM (control de acceso basado en identidades) para garantizar que se siguen los principios de privilegios y separación de obligaciones. Por ejemplo, asegúrese de que la separación de tareas está en vigor para las cuentas de usuario: las cuentas de usuario que generan certificados son independientes de las cuentas de usuario que solo requieren acceso de solo lectura a los certificados.
- Use controles de detective como CloudTrails para registrar y realizar un seguimiento del uso de los certificados en ACM y avisarle sobre las acciones críticas.
- Siga las instrucciones de seguridad de KMS para proteger la clave privada (generada para la solicitud de certificado) usada para la integración de certificados de servicio.
Implementación de AWS y contexto adicional:
- Procedimiento recomendado de seguridad para AWS Key Management Service
- Seguridad en AWS Certificate Manager
Guía de GCP: para la seguridad de las claves criptográficas, proteja las claves mediante la protección del servicio de administración de claves mediante los siguientes controles:
- Implemente el control de acceso mediante roles de IAM para asegurarse de que se siguen los principios de separación de privilegios y privilegios mínimos. Por ejemplo, asegúrese de que la separación de tareas esté en vigor para los usuarios que administran claves de cifrado para que no tengan la capacidad de acceder a los datos cifrados y viceversa.
- Cree un anillo de claves independiente para cada proyecto que le permita administrar y controlar fácilmente el acceso a las claves siguiendo el procedimiento recomendado de privilegios mínimos. También facilita la auditoría de quién tiene acceso a las claves en el momento.
- Habilite la rotación automática de claves para asegurarse de que las claves se actualizan y actualizan periódicamente. Esto ayuda a protegerse frente a posibles amenazas de seguridad, como ataques por fuerza bruta o actores malintencionados que intentan obtener acceso a información confidencial.
- Configure un receptor de registro de auditoría para realizar un seguimiento de todas las actividades que se producen en el entorno de KMS de GCP.
Para la seguridad de los certificados, proteja los certificados mediante la protección del administrador de certificados de GCP y el servicio de entidad de certificación a través de los siguientes controles:
- Implemente el control de acceso mediante directivas de nivel de recurso junto con las directivas de IAM (control de acceso basado en identidades) para garantizar que se siguen los principios de privilegios y separación de obligaciones. Por ejemplo, asegúrese de que la separación de tareas está en vigor para las cuentas de usuario: las cuentas de usuario que generan certificados son independientes de las cuentas de usuario que solo requieren acceso de solo lectura a los certificados.
- Use controles de detective como Registros de auditoría en la nube para registrar y realizar un seguimiento del uso de los certificados en el Administrador de certificados y avisarle de las acciones críticas.
- Secret Manager también admite el almacenamiento del certificado TLS. Debe seguir la práctica de seguridad similar para implementar los controles de seguridad en Secret Manager.
Implementación de GCP y contexto adicional:
- Controles de acceso del servicio De administración de claves en la nube
- Administrador de certificados
Partes interesadas de la seguridad del cliente (más información):