Biztonságvezérlés: Adatvédelem
Az Adatvédelem magában foglalja az inaktív, az átvitel közbeni és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelmet, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcskezeléssel és tanúsítványkezeléssel.|
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Biztonsági elv: A bizalmas adatok leltárának létrehozása és karbantartása a meghatározott bizalmas adatok hatóköre alapján. Eszközökkel felderítheti, osztályozhatja és címkézheti a hatókörön belüli bizalmas adatokat.
Azure-útmutató: Olyan eszközöket használjon, mint a Microsoft Purview, amely egyesíti a korábbi Azure Purview és Microsoft 365 megfelelőségi megoldásokat, és Azure SQL Adatfelderítés és -besorolás az Azure-ban, a helyszínen, a Microsoft 365-ben és más helyeken található bizalmas adatok központi vizsgálatához, besorolásához és címkézéséhez.
Azure-implementáció és további környezet:
- Adatbesorolás áttekintése
- Címkézés a Microsoft Purview Adattérkép
- Bizalmas információk címkézése az Azure Information Protection használatával
- Az Azure SQL-adatfelderítés implementálása
- Azure Purview-adatforrások
AWS-útmutató: Replikálja az adatokat különböző forrásokból egy S3-tárológyűjtőbe, és az AWS Macie használatával vizsgálja, osztályozza és címkézze fel a gyűjtőben tárolt bizalmas adatokat. Az AWS Macie képes észlelni a bizalmas adatokat, például a biztonsági hitelesítő adatokat, a pénzügyi adatokat, a PHI- és PII-adatokat, illetve az egyéni adatazonosító-szabályokon alapuló egyéb adatmintát.
Az Azure Purview többfelhős vizsgálati összekötőjével is megvizsgálhatja, osztályozhatja és címkézheti az S3-tárolókban található bizalmas adatokat.
Megjegyzés: Az AWS piactérről származó, harmadik féltől származó vállalati megoldásokat is használhat adatfelderítési besorolás és címkézés céljából.
AWS-implementáció és további környezet:
GCP-útmutató: A GCP-ben és a helyszíni környezetekben található bizalmas adatok központi vizsgálatához, besorolásához és címkézéséhez olyan eszközöket használjon, mint a Google Cloud Data Loss Prevention.
Emellett a Google Cloud Data Catalog használatával a Cloud Data Loss Prevention (DLP) vizsgálat eredményeit használva azonosíthatja a bizalmas adatokat a definiált címkesablonokkal.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
3.13 | AC-4, SI-4 | A3.2 |
Biztonsági elv: Figyelheti a bizalmas adatokkal kapcsolatos anomáliákat, például az adatok jogosulatlan átvitelét a vállalati láthatóságon és ellenőrzésen kívüli helyekre. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.
Azure-útmutató: Az Azure Information Protection (AIP) használatával monitorozhatja a besorolt és címkézett adatokat.
Használja a Microsoft Defender tárolóhoz, Microsoft Defender SQL-hez, Microsoft Defender nyílt forráskódú relációs adatbázisokhoz, és Microsoft Defender a Cosmos DB-hez, hogy riasztást küldjön a bizalmas adatok jogosulatlan átvitelére utaló rendellenes adatok átviteléről Információ.
Megjegyzés: Ha az adatveszteség-megelőzés (DLP) megfelelőségéhez szükséges, akkor a Azure Marketplace gazdagépalapú DLP-megoldásával vagy a Microsoft 365 DLP-megoldással kényszerítheti ki a detektív és/vagy megelőző vezérlőket az adatszivárgás megelőzése érdekében.
Azure-implementáció és további környezet:
- Az Azure Defender for SQL szolgáltatás engedélyezése
- Az Azure Defender for Storage engedélyezése
- Microsoft Defender engedélyezése az Azure Cosmos DB-hez
- A Microsoft Defender engedélyezése nyílt forráskódú relációs adatbázisokhoz és riasztásokra való reagálás
AWS-útmutató: Az AWS Macie használatával monitorozhatja a besorolt és címkézett adatokat, és a GuardDuty használatával észlelheti egyes erőforrások (S3, EC2 vagy Kubernetes vagy IAM-erőforrások) rendellenes tevékenységeit. Az eredmények és riasztások az EventBridge használatával triagedálhatók, elemezhetők és nyomon követhetők, és továbbíthatók a Microsoft Sentinelnek vagy a Security Hubnak incidensösszesítés és -nyomon követés céljából.
Az AWS-fiókokat csatlakoztathatja a felhőhöz készült Microsoft Defender megfelelőségi ellenőrzésekhez, tárolóbiztonsághoz és végpontbiztonsági képességekhez is.
Megjegyzés: Ha az adatveszteség-megelőzés (DLP) megfelelőségéhez szükséges, használhat gazdagépalapú DLP-megoldást az AWS Marketplace-ről.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Security Command Center/Event Threat Detection/Anomaly Detection használatával riasztást jeleníthet meg a bizalmas adatok jogosulatlan átvitelét jelző rendellenes adatok átviteléről.
A GCP-fiókokat csatlakoztathatja a felhőhöz készült Microsoft Defender megfelelőségi ellenőrzésekhez, tárolóbiztonsághoz és végpontbiztonsági képességekhez is.
GCP implementálása és további környezet:
- Az eseményfenyegetések észlelésének áttekintése
- Anomáliadetektálás streamelemzési & AI használatával
- Anomáliadetektálás
Ügyfélbiztonsági érdekelt felek (További információ):
DP-3: Bizalmas adatok titkosítása átvitel közben
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
3.10 | SC-8 | 3.5, 3.6, 4.1 |
Biztonsági elv: Az átvitt adatok védelme a "sávon kívüli" támadásokkal szemben (például forgalomrögzítés) titkosítással, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.
Állítsa be a hálózati határt és a szolgáltatás hatókörét, ahol az átviteltitkosításban lévő adatok kötelezőek a hálózaton belül és kívül. Bár ez nem kötelező a privát hálózatokon történő forgalomhoz, ez a külső és a nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú.
Azure-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint az Azure Storage, ahol egy natív adattitkosítási funkció van beépítve.
A HTTPS kényszerítése webalkalmazási számítási feladatokhoz és szolgáltatásokhoz annak biztosításával, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek a transport layer security (TLS) 1.2-es vagy újabb verzióját használják. Virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windows esetén) a titkosítatlan protokoll helyett.
Az Azure-beli virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett. A biztonságos fájlátvitelhez használja az SFTP/FTPS szolgáltatást az Azure Storage Blobban, App Service alkalmazásokban és függvényalkalmazásokban a szokásos FTP-szolgáltatás helyett.
Megjegyzés: Az átviteli titkosításban lévő adatok az Azure-adatközpontok közötti összes Azure-forgalom esetében engedélyezve van. A TLS 1.2-s vagy újabb verziója alapértelmezés szerint engedélyezve van a legtöbb Azure-szolgáltatásban. Egyes szolgáltatások, például az Azure Storage és a Application Gateway a kiszolgálóoldalon is kényszeríthetik a TLS 1.2-s vagy újabb verzióját.
Azure-implementáció és további környezet:
- Dupla titkosítás az átvitel alatt lévő Azure-adatokhoz
- Az Azure-ral átvitt titkosítás ismertetése
- Információk a TLS biztonságáról
- Biztonságos átvitel kényszerítése az Azure Storage-ban
AWS-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint az Amazon S3, az RDS és a CloudFront, ahol egy natív adattitkosítási funkció van beépítve.
A HTTPS kényszerítése (például az AWS rugalmas Load Balancer) a számítási feladat webalkalmazásaihoz és szolgáltatásaihoz (kiszolgálóoldalon vagy ügyféloldalon vagy mindkettőn) annak biztosításával, hogy az AWS-erőforrásokhoz csatlakozó ügyfelek a TLS 1.2-s vagy újabb verzióját használják.
Az EC2-példányok távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett. A biztonságos fájlátvitelhez használja az AWS Transfer SFTP vagy FTPS szolgáltatást normál FTP-szolgáltatás helyett.
Megjegyzés: Az AWS-adatközpontok közötti összes hálózati forgalom transzparensen titkosítva van a fizikai rétegben. A VPC-n belüli és a régiók közötti társviszonyban lévő VPN-ek közötti összes forgalom transzparensen titkosítva van a hálózati rétegen a támogatott Amazon EC2-példánytípusok használatakor. A TLS 1.2-s vagy újabb verziója alapértelmezés szerint engedélyezve van a legtöbb AWS-szolgáltatásban. Egyes szolgáltatások, például az AWS Load Balancer pedig kényszeríthetik a TLS 1.2-s vagy újabb verzióját a kiszolgálóoldalon.
AWS-implementáció és további környezet:
GCP-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint a Google Cloud Storage, ahol egy natív adattitkosítási funkció van beépítve.
A HTTPS kényszerítése a webalkalmazások számítási feladataihoz és szolgáltatásaihoz, biztosítva, hogy a GCP-erőforrásokhoz csatlakozó ügyfelek a Transport Layer Security (TLS) 1.2-es vagy újabb verzióját használják.
A távfelügyelethez a Google Cloud Compute Engine titkosítás nélküli protokoll helyett SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windowshoz) használjon. A biztonságos fájlátvitelhez használja az SFTP/FTPS szolgáltatást olyan szolgáltatásokban, mint a Google Cloud Big Query vagy a Cloud App Engine, és ne egy hagyományos FTP-szolgáltatást használjon.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
- Biztonsági architektúra
- Infrastruktúra és végpontbiztonság
- Alkalmazásbiztonság és DevOps
- Adatbiztonság
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
3.11 | SC-28 | 3.4, 3.5 |
Biztonsági elv: A hozzáférés-vezérlés kiegészítése érdekében az inaktív adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal szemben (például a mögöttes tárolóhoz való hozzáféréssel). Ez segít biztosítani, hogy a támadók ne tudják könnyen beolvasni vagy módosítani az adatokat.
Azure-útmutató: Számos Azure-szolgáltatásban alapértelmezés szerint engedélyezve vannak az inaktív adatok titkosítása az infrastruktúrarétegben egy szolgáltatás által felügyelt kulccsal. Ezek a szolgáltatás által felügyelt kulcsok az ügyfél nevében jönnek létre, és kétévente automatikusan elfordulnak.
Ha technikailag megvalósítható, és alapértelmezés szerint nincs engedélyezve, engedélyezheti az inaktív adatok titkosítását az Azure-szolgáltatásokban, illetve a virtuális gépeken a tárolási, fájl- vagy adatbázisszinten.
Azure-implementáció és további környezet:
- Inaktív adatok Azure-ban való titkosításának ismertetése
- Inaktív adatok dupla titkosítása az Azure-ban
- Titkosítási modell és kulcskezelési tábla
AWS-útmutató: Számos AWS-szolgáltatásban alapértelmezés szerint engedélyezve vannak az inaktív adatok titkosítása az infrastruktúra-/platformrétegen egy AWS által felügyelt ügyfél főkulcsával. Ezek az AWS által felügyelt ügyfél főkulcsai az ügyfél nevében jönnek létre, és háromévente automatikusan el lesznek forgatva.
Ha technikailag megvalósítható, és alapértelmezés szerint nincs engedélyezve, engedélyezheti az inaktív adatok titkosítását az AWS-szolgáltatásokban, illetve a virtuális gépeken a tárolási, fájl- vagy adatbázisszinten.
AWS-implementáció és további környezet:
GCP-útmutató: Számos Google Cloud-termék és -szolgáltatás rendelkezik alapértelmezés szerint engedélyezve az inaktív adatok titkosításával az infrastruktúrarétegben egy szolgáltatás által felügyelt kulccsal. Ezek a szolgáltatás által felügyelt kulcsok az ügyfél nevében jönnek létre, és automatikusan el lesznek forgatva.
Ha technikailag megvalósítható, és alapértelmezés szerint nincs engedélyezve, engedélyezheti az inaktív adatok titkosítását a GCP-szolgáltatásokban, illetve a virtuális gépeken a tárolási, fájl- vagy adatbázisszinten.
Megjegyzés: További részletekért tekintse meg a "A Google Cloud-szolgáltatások titkosításának részletessége" című dokumentumot.
GCP-implementáció és további környezet:
- Alapértelmezett titkosítás inaktív állapotban
- Adattitkosítási lehetőségek
- A Google Cloud-szolgáltatások titkosításának részletessége
Ügyfélbiztonsági érdekelt felek (További információ):
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Biztonsági elv: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása ügyfél által felügyelt kulcsokkal a szolgáltatásokban.
Azure-útmutató: Az Azure emellett egy titkosítási lehetőséget is biztosít a saját maga által kezelt kulcsok (ügyfél által felügyelt kulcsok) használatával a legtöbb szolgáltatáshoz.
Az Azure Key Vault Standard, Prémium és Felügyelt HSM natív módon integrálva van számos Azure-szolgáltatással az ügyfél által felügyelt kulcshasználati esetekhez. Az Azure Key Vault használatával létrehozhatja a kulcsot, vagy saját kulcsokat hozhat létre.
Az ügyfél által felügyelt kulcs beállítás használata azonban további működési erőfeszítést igényel a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.
Azure-implementáció és további környezet:
- Titkosítási modell és kulcskezelési tábla
- Ügyfél által felügyelt kulccsal történő titkosítást támogató szolgáltatások
- Ügyfél által felügyelt titkosítási kulcsok konfigurálása az Azure Storage-ban
AWS-útmutató: Az AWS titkosítási lehetőséget is biztosít bizonyos szolgáltatásokhoz a saját által felügyelt kulcsokkal (az AWS kulcskezelő szolgáltatásban tárolt ügyfél által kezelt főkulcs).
Az AWS kulcskezelő szolgáltatás (KMS) natív módon integrálva van számos AWS-szolgáltatással az ügyfél által felügyelt ügyfél főkulcs-használati eseteiben. Használhatja az AWS kulcskezelő szolgáltatást (KMS) a főkulcsok létrehozásához, vagy használhatja saját kulcsait.
Az ügyfél által felügyelt kulcs lehetőség használata azonban további üzemeltetési erőfeszítéseket igényel a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud a legtöbb szolgáltatáshoz biztosít egy titkosítási lehetőséget, amely a saját maga által kezelt kulcsokat (ügyfél által kezelt kulcsokat) használja.
A Google Cloud Key Management Service (Cloud KMS) natív módon integrálva van számos GCP-szolgáltatással az ügyfél által felügyelt titkosítási kulcsok esetében. Ezek a kulcsok a Cloud KMS használatával hozhatók létre és kezelhetők, és a kulcsokat szoftverkulcsként, HSM-fürtön vagy külsőleg tárolhatja. A Cloud KMS használatával létrehozhatja a kulcsot, vagy megadhatja saját kulcsait (az ügyfél által megadott titkosítási kulcsokat).
Az ügyfél által felügyelt kulcs lehetőség használata azonban további üzemeltetési erőfeszítéseket igényel a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.
GCP-implementáció és további környezet:
- Alapértelmezett titkosítás inaktív állapotban
- Adattitkosítási lehetőségek
- Ügyfél által felügyelt titkosítási kulcsok
- Ügyfél által megadott titkosítási kulcs
Ügyfélbiztonsági érdekelt felek (További információ):
- Biztonsági architektúra
- Infrastruktúra és végpontbiztonság
- Alkalmazásbiztonság és DevOps
- Adatbiztonság
DP-6: Biztonságos kulcskezelési folyamat használata
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
N/A | IA-5, SC-12, SC-28 | 3,6 |
Biztonsági elv: Dokumentáljon és implementáljon egy vállalati titkosítási kulcskezelési szabványt, folyamatokat és eljárásokat a kulcséletciklus szabályozásához. Ha ügyfél által felügyelt kulcsot kell használnia a szolgáltatásokban, használjon biztonságos kulcstartó-szolgáltatást kulcslétrehozáshoz, terjesztéshez és tároláshoz. A kulcsok elforgatása és visszavonása a megadott ütemezés és a kulcsok kivonása vagy feltörése alapján.
Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vault-ban és a szolgáltatásban a megadott ütemezés és a kulcsok kivezetése vagy feltörése alapján. Kulcsok létrehozásakor szükség van egy bizonyos titkosítási típusra és minimális kulcsméretre.
Ha ügyfél által felügyelt kulcsot (CMK) kell használnia a számítási feladatok szolgáltatásaiban vagy alkalmazásaiban, győződjön meg arról, hogy követi az ajánlott eljárásokat:
- Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban.
- Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és az egyes szolgáltatásokban vagy alkalmazásokban kulcsazonosítókon keresztül vannak implementálva.
A kulcsok élettartamának és hordozhatóságának maximalizálása érdekében hozza a saját kulcsát (BYOK) a szolgáltatásokba (azaz importálja a HSM által védett kulcsokat a helyszíni HSM-ekből az Azure Key Vault). Kövesse az ajánlott útmutatót a kulcslétrehozás és a kulcsátvitel végrehajtásához.
Megjegyzés: Az alábbiakban az Azure-Key Vault-típusok FIPS 140-2-es és FIPS-megfelelőségi/érvényesítési szintjét találja.
- Szoftveres védelem alatt álló kulcsok tárolókban (Prémium & Standard termékváltozatok): FIPS 140-2 1. szint
- HSM által védett kulcsok tárolókban (prémium termékváltozat): FIPS 140-2 2. szint
- HSM által védett kulcsok a felügyelt HSM-ben: FIPS 140-2 3. szint
Az Azure Key Vault Premium megosztott HSM-infrastruktúrát használ a háttérrendszerben. Az Azure Key Vault felügyelt HSM dedikált, bizalmas szolgáltatásvégpontokat használ dedikált HSM-ekkel, ha magasabb szintű kulcsbiztonságra van szüksége.
Azure-implementáció és további környezet:
- Az Azure Key Vault áttekintése
- Azure-adattitkosítás rest-key hierarchia
- BYOK (Bring Your Own Key) specifikáció
AWS-útmutató: Az AWS kulcskezelő szolgáltatás (KMS) használatával létrehozhatja és vezérelheti a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása a KMS-ben és a szolgáltatásban a megadott ütemezés és a kulcs kivezetése vagy sérülése alapján.
Ha ügyfél által felügyelt ügyfél főkulcsát kell használnia a számítási feladatok szolgáltatásaiban vagy alkalmazásaiban, győződjön meg arról, hogy követi az ajánlott eljárásokat:
- Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a KMS-ben.
- Győződjön meg arról, hogy a kulcsok regisztrálva vannak a KMS-ben, és az egyes szolgáltatásokban vagy alkalmazásokban IAM-szabályzatokkal implementálhatók.
A kulcsanyag élettartamának és hordozhatóságának maximalizálása érdekében hozza a saját kulcsát (BYOK) a szolgáltatásokba (azaz importálja a HSM által védett kulcsokat a helyszíni HSM-ekből a KMS-be vagy a felhőbeli HSM-be). Kövesse az ajánlott útmutatót a kulcslétrehozás és a kulcsátvitel végrehajtásához.
Megjegyzés: Az AWS KMS megosztott HSM-infrastruktúrát használ a háttérrendszerben. Az AWS CloudHSM által támogatott AWS KMS egyéni kulcstárolót akkor használja, ha saját kulcstárolót és dedikált HSM-eket kell kezelnie (például a magasabb szintű kulcsbiztonság jogszabályi megfelelőségi követelményeit) a titkosítási kulcsok létrehozásához és tárolásához.
Megjegyzés: Az AWS KMS-ben és a CloudHSM-ben a FIPS 140-2 szintű FIPS-megfelelőségi szintről az alábbiakban olvashat:
- Alapértelmezett AWS KMS: FIPS 140-2 2. szint érvényesítve
- AWS KMS a CloudHSM használatával: FIPS 140-2 3. szint (bizonyos szolgáltatások esetén) érvényesítve
- AWS CloudHSM: FIPS 140-2 3. szint érvényesítve
Megjegyzés: A titkos kódok kezeléséhez (hitelesítő adatok, jelszó, API-kulcsok stb.) használja az AWS Titkos kódok kezelőjét.
AWS-implementáció és további környezet:
- AWS által felügyelt és ügyfél által felügyelt CMK-k
- Kulcsanyagok importálása AWS KMS-kulcsokban
- Kulcsok biztonságos átvitele a CloudHSM-be
- A CloudHSM által támogatott egyéni kulcstároló létrehozása
GCP-útmutató: A Cloud Key Management Service (Cloud KMS) használatával titkosítási kulcsok életciklusát hozhatja létre és kezelheti a kompatibilis Google Cloud-szolgáltatásokban és a számításifeladat-alkalmazásokban. A kulcsok rotálása és visszavonása a Cloud KMS-ben és a szolgáltatásban a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén.
A Google Cloud HSM szolgáltatásával hardveralapú kulcsokat biztosíthat a Cloud KMS-hez (kulcskezelő szolgáltatás). Lehetővé teszi a saját titkosítási kulcsok kezelését és használatát, miközben teljes körűen felügyelt hardveres biztonsági modulok (HSM) védik őket.
A felhőbeli HSM szolgáltatás HSM-eket használ, amelyek FIPS 140-2 3. szintű ellenőrzöttek, és mindig FIPS módban futnak. A FIPS 140-2 3. szintje ellenőrzött, és mindig FIPS módban fut. A FIPS szabvány határozza meg a HSM-k által használt titkosítási algoritmusokat és véletlenszerű számlétrehozásokat.
GCP-implementáció és további környezet:
- A Cloud Key Management Service áttekintése
- Ügyfél által felügyelt titkosítási kulcsok (CMEK)
- Felhőbeli HSM
Ügyfélbiztonsági érdekelt felek (További információ):
DP-7: Biztonságos tanúsítványkezelési folyamat használata
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
---|---|---|
N/A | IA-5, SC-12, SC-17 | 3,6 |
Biztonsági elv: Dokumentáljon és implementáljon egy vállalati tanúsítványkezelési szabványt, folyamatokat és eljárásokat, amelyek magukban foglalják a tanúsítvány életciklus-vezérlését és a tanúsítványszabályzatokat (ha nyilvános kulcsú infrastruktúrára van szükség).
Győződjön meg arról, hogy a szervezet kritikus szolgáltatásai által használt tanúsítványok leltározása, nyomon követése, monitorozása és megújítása automatikus mechanizmussal történik a szolgáltatáskimaradás elkerülése érdekében.
Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és végleges törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványt, például nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás stb. Állítsa be a tanúsítvány automatikus rotálását az Azure Key Vault és a támogatott Azure-szolgáltatásokban a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használjon manuális rotációt az Azure Key Vault.
A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett létrehozhat nyilvánosan aláírt tanúsítványokat az Azure Key Vault. A következő hitelesítésszolgáltatók (CA-k) azok a partnerszolgáltatók, amelyek jelenleg integrálva vannak az Azure Key Vault.
- DigiCert: Az Azure Key Vault OV TLS-/SSL-tanúsítványokat kínál a DigiCerttel.
- GlobalSign: Az Azure Key Vault OV TLS-/SSL-tanúsítványokat kínál a GlobalSign használatával.
Megjegyzés: Csak jóváhagyott hitelesítésszolgáltatót használjon, és győződjön meg arról, hogy a hitelesítésszolgáltatók által kibocsátott ismert hibás legfelső szintű/köztes tanúsítványok le vannak tiltva.
Azure-implementáció és további környezet:
- Ismerkedés a Key Vault-tanúsítványok használatával
- Tanúsítvány Access Control az Azure Key Vault-ban
AWS-útmutató: Az AWS Tanúsítványkezelővel (ACM) létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és végleges törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványt, például nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás stb. Állítsa be a tanúsítvány automatikus rotálását az ACM-ben és a támogatott AWS-szolgáltatásokban a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használja a manuális forgatást az ACM-ben. Addig is mindig nyomon kell követnie a tanúsítvány megújítási állapotát a tanúsítvány érvényességének biztosítása érdekében.
A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett hozzon létre nyilvánosan aláírt tanúsítványokat (amelyeket az Amazon-hitelesítésszolgáltató írt alá) az ACM-ben, és telepítse őket programozott módon olyan szolgáltatásokban, mint a CloudFront, a Load Balancers, az API Gateway stb. Az ACM használatával privát hitelesítésszolgáltatót (CA) is létrehozhat a magántanúsítványok aláírásához.
Megjegyzés: Csak jóváhagyott hitelesítésszolgáltatót használjon, és győződjön meg arról, hogy a hitelesítésszolgáltatók által kibocsátott ismert hibás hitelesítésszolgáltatói főtanúsítványok/köztes tanúsítványok le vannak tiltva.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Certificate Manager használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és végleges törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványt, például nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás stb. Állítsa be a tanúsítvány automatikus rotálását a Tanúsítványkezelőben és a támogatott GCP-szolgáltatásokban a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használja a manuális forgatást a Tanúsítványkezelőben. Addig is mindig nyomon kell követnie a tanúsítvány megújítási állapotát a tanúsítvány érvényességének biztosítása érdekében.
A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett létrehozhat aláírt nyilvános tanúsítványokat a Tanúsítványkezelőben, és programozott módon telepítheti azokat olyan szolgáltatásokban, mint a Load Balancer és a felhőBELI DNS stb. A hitelesítésszolgáltató szolgáltatással privát hitelesítésszolgáltatót is létrehozhat a magántanúsítványok aláírásához.
Megjegyzés: A Google Cloud Secret Manager használatával TLS-tanúsítványokat is tárolhat.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
DP-8: A kulcs- és tanúsítványtár biztonságának biztosítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
N/A | IA-5, SC-12, SC-17 | 3,6 |
Biztonsági elv: Győződjön meg a titkosítási kulcs és a tanúsítvány életciklusának felügyeletéhez használt kulcstartó szolgáltatás biztonságáról. A kulcstartó szolgáltatását a hozzáférés-vezérlés, a hálózati biztonság, a naplózás és a monitorozás, valamint a biztonsági mentés révén erősítheti meg, hogy a kulcsok és tanúsítványok mindig a maximális biztonsággal legyenek védve.
Azure-útmutató: Biztonságossá teheti a titkosítási kulcsokat és a tanúsítványokat az Azure Key Vault szolgáltatás megerősítésével az alábbi vezérlőkkel:
- A hozzáférés-vezérlés megvalósítása RBAC-szabályzatokkal az Azure Key Vault felügyelt HSM-ben kulcsszinten annak biztosítása érdekében, hogy a lehető legkevesebb jogosultságot és a feladatok elkülönítését kövesse. Például győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, hogy ne férhessenek hozzá a titkosított adatokhoz, és fordítva. Az Azure Key Vault Standard és Premium esetében hozzon létre egyedi tárolókat a különböző alkalmazásokhoz, hogy a lehető legkisebb jogosultsági és elkülönítési elv érvényesüljön.
- Kapcsolja be az Azure Key Vault naplózást a kritikus felügyeleti sík és az adatsík tevékenységeinek naplózásához.
- Az Azure Key Vault védelme Private Link és Azure Firewall használatával a szolgáltatás minimális kitettségének biztosítása érdekében
- Felügyelt identitással érheti el az Azure Key Vault a számítási feladatokkal kapcsolatos alkalmazásokban tárolt kulcsokat.
- Az adatok törlésekor győződjön meg arról, hogy a kulcsok nem törlődnek a tényleges adatok, a biztonsági másolatok és az archívumok végleges törlése előtt.
- Biztonsági másolatot készít a kulcsokról és a tanúsítványokról az Azure Key Vault használatával. A kulcsok véletlen törlésének elkerülése érdekében engedélyezze a helyreállítható törlést és a törlést. Ha a kulcsokat törölni kell, fontolja meg a kulcsok törlésének letiltását, hogy elkerülje a kulcsok véletlen törlését és az adatok titkosítási törlését.
- Ha saját kulcsot (BYOK) használ, hozzon létre kulcsokat egy helyszíni HSM-ben, és importálja őket a kulcsok élettartamának és hordozhatóságának maximalizálása érdekében.
- A kulcsokat soha ne tárolja egyszerű szöveges formátumban az Azure Key Vault kívül. Az összes key vault-szolgáltatás kulcsai alapértelmezés szerint nem exportálhatók.
- HSM-alapú kulcstípusok (RSA-HSM) használata az Azure Key Vault Premiumban és az Azure Managed HSM-ben a hardvervédelemhez és a legerősebb FIPS-szintekhez.
A Key Vaulthoz készült Microsoft Defender engedélyezésével egy további biztonságiintelligencia-réteget hozhat létre, és ezzel natív felhős speciális védelmet biztosíthat az Azure Key Vaulthoz.
Azure-implementáció és további környezet:
- Az Azure Key Vault áttekintése
- Az Azure Key Vault biztonsági ajánlott eljárásai
- Felügyelt identitás használata az Azure Key Vault eléréséhez
- A Key Vault Microsoft Defender áttekintése
AWS-útmutató: A titkosítási kulcsok biztonsága érdekében az AWS Kulcskezelési szolgáltatás (KMS) szolgáltatásának a következő vezérlőkkel történő megerősítésével biztonságossá teheti a kulcsokat:
- A hozzáférés-vezérlés implementálása kulcsszabályzatokkal (kulcsszintű hozzáférés-vezérlés) az IAM-szabályzatokkal (identitásalapú hozzáférés-vezérléssel) együtt, hogy a lehető legkevesebb jogosultságot és elkülönítést biztosítsa a feladatok elvének. Például győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, hogy ne férhessenek hozzá a titkosított adatokhoz, és fordítva.
- A detektívvezérlők, például a CloudTrails használatával naplózhatja és nyomon követheti a kulcsok használatát a KMS-ben, és riasztást jeleníthet meg a kritikus műveletekről.
- A kulcsokat soha ne tárolja egyszerű szöveges formátumban a KMS-en kívül.
- Ha a kulcsokat törölni kell, fontolja meg a kulcsok kms-ben való letiltását ahelyett, hogy törli őket, hogy elkerülje a kulcsok véletlen törlését és az adatok titkosítási törlését.
- Az adatok törlésekor győződjön meg arról, hogy a kulcsok nem törlődnek a tényleges adatok, a biztonsági másolatok és az archívumok végleges törlése előtt.
- Saját kulcs (BYOK) használata esetén hozzon létre kulcsokat egy helyszíni HSM-ben, és importálja őket a kulcsok élettartamának és hordozhatóságának maximalizálása érdekében.
A tanúsítványok biztonsága érdekében az AWS Tanúsítványkezelő (ACM) szolgáltatását az alábbi vezérlőkkel biztonságossá teheti:
- Implementálja a hozzáférés-vezérlést erőforrásszintű szabályzatokkal az IAM-szabályzatokkal (identitásalapú hozzáférés-vezérléssel) együtt, hogy biztosítsa a minimális jogosultsági és elkülönítési alapelveket. Például győződjön meg arról, hogy a feladatok elkülönítése érvényben van a felhasználói fiókok esetében: a tanúsítványokat létrehozó felhasználói fiókok elkülönülnek azoktól a felhasználói fiókoktól, amelyek csak olvasási hozzáférést igényelnek a tanúsítványokhoz.
- A detektívvezérlők, például a CloudTrails használatával naplózhatja és nyomon követheti a tanúsítványok használatát az ACM-ben, és riasztást jeleníthet meg a kritikus műveletekről.
- Kövesse a KMS biztonsági útmutatóját a szolgáltatástanúsítvány-integrációhoz használt (tanúsítványkérelmekhez létrehozott) titkos kulcs védelméhez.
AWS-implementáció és további környezet:
- Ajánlott biztonsági eljárások az AWS kulcskezelési szolgáltatáshoz
- Biztonság az AWS-tanúsítványkezelőben
GCP-útmutató: A titkosítási kulcsok biztonsága érdekében a kulcsok védelméhez a kulcskezelési szolgáltatás a következő vezérlőkkel megerősítve biztosítható:
- A hozzáférés-vezérlés IAM-szerepkörökkel történő implementálása a minimális jogosultsági szint és a feladatok elkülönítésének biztosítása érdekében. Például győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, hogy ne férhessenek hozzá a titkosított adatokhoz, és fordítva.
- Hozzon létre egy külön kulcsgyűrűt minden projekthez, amely lehetővé teszi a kulcsokhoz való hozzáférés egyszerű kezelését és szabályozását a minimális jogosultsági ajánlott eljárásokat követve. Emellett megkönnyíti annak naplózását is, hogy ki rendelkezik hozzáféréssel a kulcsokhoz, amikor.
- A kulcsok automatikus elforgatásának engedélyezése a kulcsok rendszeres frissítésének és frissítésének biztosításához. Ez segít megvédeni a potenciális biztonsági fenyegetéseket, például a találgatásos támadásokat vagy a bizalmas információkhoz való hozzáférést megkísérlő rosszindulatú szereplőket.
- Állítson be egy auditnapló-fogadót a GCP KMS-környezetben végzett összes tevékenység nyomon követéséhez.
A tanúsítványok biztonsága érdekében gondoskodjon a tanúsítványok védelméről a GCP tanúsítványkezelőjének és a hitelesítésszolgáltatói szolgáltatásnak az alábbi vezérlőkkel történő megerősítésével:
- Implementálja a hozzáférés-vezérlést erőforrásszintű szabályzatokkal az IAM-szabályzatokkal (identitásalapú hozzáférés-vezérléssel) együtt, hogy biztosítsa a minimális jogosultsági és elkülönítési alapelveket. Például győződjön meg arról, hogy a feladatok elkülönítése érvényben van a felhasználói fiókok esetében: a tanúsítványokat létrehozó felhasználói fiókok elkülönülnek azoktól a felhasználói fiókoktól, amelyek csak olvasási hozzáférést igényelnek a tanúsítványokhoz.
- A Tanúsítványkezelőben a tanúsítványhasználat naplózásához és nyomon követéséhez használjon detektívvezérlőket, például a cloud auditnaplókat, és riasztást küld a kritikus műveletekről.
- A Secret Manager a TLS-tanúsítvány tárolását is támogatja. A titkos kódkezelőben a biztonsági vezérlők implementálásához kövesse a hasonló biztonsági gyakorlatot.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):