Beveiligingsbeheer: gegevensbescherming

  • Artikel

Gegevensbescherming omvat het beheer van gegevensbescherming at rest, tijdens overdracht en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutelbeheer en certificaatbeheer.|

DP-1: Gevoelige gegevens detecteren, classificeren en labelen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Beveiligingsprincipe: Maak en onderhoud een inventaris van de gevoelige gegevens op basis van het gedefinieerde bereik voor gevoelige gegevens. Gebruik hulpprogramma's om gevoelige gegevens binnen het bereik te detecteren, classificeren en labelen.

Azure-richtlijnen: Gebruik hulpprogramma's zoals Microsoft Purview, waarin de voormalige Azure Purview- en Microsoft 365-nalevingsoplossingen worden gecombineerd, en Azure SQL Data Discovery and Classification om de gevoelige gegevens centraal te scannen, classificeren en labelen die zich in de Azure-, on-premises, Microsoft 365- en andere locaties bevinden.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: repliceer uw gegevens uit verschillende bronnen naar een S3-opslagbucket en gebruik AWS Macie om de gevoelige gegevens die in de bucket zijn opgeslagen, te scannen, classificeren en labelen. AWS Macie kan gevoelige gegevens detecteren, zoals beveiligingsreferenties, financiële informatie, PHI- en PII-gegevens of ander gegevenspatroon op basis van de aangepaste regels voor gegevens-id's.

U kunt ook de Azure Purview-connector voor meerdere cloudscans gebruiken om de gevoelige gegevens in een S3-opslagbucket te scannen, classificeren en labelen.

Opmerking: U kunt ook externe bedrijfsoplossingen van AWS Marketplace gebruiken voor classificatie en labeling van gegevensdetectie.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: gebruik hulpprogramma's zoals Google Cloud Data Loss Prevention om de gevoelige gegevens in de GCP- en on-premises omgevingen centraal te scannen, classificeren en labelen.

Gebruik daarnaast Google Cloud Data Catalog om de resultaten van een DLP-scan (Preventie van cloudgegevensverlies) te gebruiken om gevoelige gegevens te identificeren met gedefinieerde tagsjablonen.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie)::

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.13 AC-4, SI-4 A3.2

Beveiligingsprincipe: Bewaken op afwijkingen rond gevoelige gegevens, zoals onbevoegde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van de onderneming. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.

Azure-richtlijnen: Gebruik Azure Information Protection (AIP) om de gegevens te bewaken die zijn geclassificeerd en gelabeld.

Gebruik Microsoft Defender voor Storage, Microsoft Defender voor SQL, Microsoft Defender voor opensource-relationele databases en Microsoft Defender voor Cosmos DB om te waarschuwen bij afwijkende overdracht van gegevens die kunnen duiden op onbevoegde overdracht van gevoelige gegevens Informatie.

Opmerking: indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een hostgebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om detective- en/of preventieve controles af te dwingen om exfiltratie van gegevens te voorkomen.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: gebruik AWS Macie om de gegevens te bewaken die zijn geclassificeerd en gelabeld, en gebruik GuardDuty om afwijkende activiteiten op bepaalde resources (S3, EC2, Kubernetes of IAM-resources) te detecteren. Bevindingen en waarschuwingen kunnen worden gesorteerd, geanalyseerd en bijgehouden met behulp van EventBridge en doorgestuurd naar Microsoft Sentinel of Security Hub voor aggregatie en tracering van incidenten.

U kunt uw AWS-accounts ook verbinden met Microsoft Defender for Cloud voor nalevingscontroles, containerbeveiliging en mogelijkheden voor eindpuntbeveiliging.

Opmerking: indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing van AWS Marketplace gebruiken.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Gebruik Google Cloud Security Command Center/Event Threat Detection/Anomaly Detection om te waarschuwen bij afwijkende overdracht van gegevens die kunnen duiden op onbevoegde overdracht van gevoelige gegevens.

U kunt uw GCP-accounts ook verbinden met Microsoft Defender for Cloud voor nalevingscontroles, containerbeveiliging en mogelijkheden voor eindpuntbeveiliging.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie)::

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Beveiligingsprincipe: Beveilig de gegevens die onderweg zijn tegen out-of-band-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Stel de netwerkgrens en het servicebereik in waar versleuteling van gegevens in transit binnen en buiten het netwerk verplicht is. Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken.

Azure-richtlijnen: Veilige overdracht afdwingen in services zoals Azure Storage, waarbij een systeemeigen versleutelingsfunctie voor gegevens in overdracht is ingebouwd.

Dwing HTTPS af voor webtoepassingsworkloads en -services door ervoor te zorgen dat clients die verbinding maken met uw Azure-resources transportlaagbeveiliging (TLS) v1.2 of hoger gebruiken. Voor extern beheer van VM's gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.

Voor extern beheer van virtuele Azure-machines gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Voor beveiligde bestandsoverdracht gebruikt u de SFTP/FTPS-service in Azure Storage Blob, App Service-apps en Functie-apps, in plaats van de normale FTP-service te gebruiken.

Opmerking: Versleuteling van gegevens in transit is ingeschakeld voor al het Azure-verkeer tussen Azure-datacenters. TLS v1.2 of hoger is standaard ingeschakeld op de meeste Azure-services. En sommige services, zoals Azure Storage en Application Gateway, kunnen TLS v1.2 of hoger afdwingen aan de serverzijde.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: veilige overdracht afdwingen in services zoals Amazon S3, RDS en CloudFront, waarbij een systeemeigen versleutelingsfunctie voor gegevens in overdracht is ingebouwd.

Dwing HTTPS af (zoals in AWS Elastic Load Balancer) voor webtoepassingen en -services (aan de serverzijde of clientzijde of op beide) door ervoor te zorgen dat clients die verbinding maken met uw AWS-resources TLS v1.2 of hoger gebruiken.

Voor extern beheer van EC2-exemplaren gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Voor beveiligde bestandsoverdracht gebruikt u DE SERVICE AWS Transfer SFTP of FTPS in plaats van een gewone FTP-service.

Opmerking: al het netwerkverkeer tussen AWS-datacenters wordt transparant versleuteld op de fysieke laag. Al het verkeer binnen een VPC en tussen gekoppelde VPN's in verschillende regio's wordt transparant versleuteld op de netwerklaag bij het gebruik van ondersteunde Amazon EC2-exemplaartypen. TLS v1.2 of hoger is standaard ingeschakeld op de meeste AWS-services. En sommige services, zoals AWS Load Balancer kunnen TLS v1.2 of hoger afdwingen aan de serverzijde.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: veilige overdracht afdwingen in services zoals Google Cloud Storage, waar een systeemeigen versleutelingsfunctie voor gegevens in overdracht is ingebouwd.

Dwing HTTPS af voor werkbelastingen en -services van webtoepassingen, zodat clients die verbinding maken met uw GCP-resources transport layer security (TLS) v1.2 of hoger gebruiken.

Voor extern beheer gebruikt Google Cloud Compute Engine SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Gebruik voor veilige bestandsoverdracht de SFTP/FTPS-service in services zoals Google Cloud Big Query of Cloud App Engine in plaats van een gewone FTP-service.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie):

DP-4: Versleuteling van data-at-rest standaard inschakelen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.11 SC-28 3.4, 3.5

Beveiligingsprincipe: ter aanvulling op toegangsbeheer moeten data-at-rest worden beveiligd tegen out-of-band-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure-richtlijnen: voor veel Azure-services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuurlaag met behulp van een door de service beheerde sleutel. Deze door de service beheerde sleutels worden namens de klant gegenereerd en elke twee jaar automatisch geroteerd.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de Azure-services of op uw VM's op opslagniveau, bestandsniveau of databaseniveau.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: voor veel AWS-services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuur-/platformlaag met behulp van een door AWS beheerde hoofdsleutel van de klant. Deze door AWS beheerde hoofdsleutels van de klant worden namens de klant gegenereerd en automatisch om de drie jaar geroteerd.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de AWS-services of op uw VM's op opslagniveau, bestandsniveau of databaseniveau.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: voor veel Google Cloud-producten en -services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuurlaag met behulp van een door de service beheerde sleutel. Deze door de service beheerde sleutels worden namens de klant gegenereerd en automatisch geroteerd.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de GCP-services of op uw VM's op opslagniveau, bestandsniveau of databaseniveau.

Opmerking: raadpleeg het document Granulariteit van versleuteling voor Google Cloud-services voor meer informatie.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie):

DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Beveiligingsprincipe: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor door de klant beheerde sleuteloptie nodig is. Versleuteling van data-at-rest inschakelen en implementeren met behulp van door de klant beheerde sleutels in services.

Azure-richtlijnen: Azure biedt voor de meeste services ook een versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde sleutels).

Azure Key Vault Standard, Premium en Managed HSM zijn systeemeigen geïntegreerd met veel Azure-services voor door de klant beheerde sleutelgebruiksvoorbeelden. U kunt Azure Key Vault gebruiken om uw sleutel te genereren of uw eigen sleutels te gebruiken.

Het gebruik van de door de klant beheerde sleuteloptie vereist echter extra operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort omvatten.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: AWS biedt ook een versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde hoofdsleutel van de klant opgeslagen in de AWS Key Management-service) voor bepaalde services.

AWS Key Management Service (KMS) is systeemeigen geïntegreerd met veel AWS-services voor door de klant beheerde hoofdsleutelgebruiksscenario's. U kunt AWS Key Management Service (KMS) gebruiken om uw hoofdsleutels te genereren of uw eigen sleutels gebruiken.

Het gebruik van de door de klant beheerde sleuteloptie vereist echter extra operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort omvatten.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Google Cloud biedt voor de meeste services een versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde sleutels).

Google Cloud Key Management Service (Cloud KMS) is systeemeigen geïntegreerd met veel GCP-services voor door de klant beheerde versleutelingssleutels. Deze sleutels kunnen worden gemaakt en beheerd met cloud-KMS en u slaat de sleutels op als softwaresleutels, in een HSM-cluster of extern. U kunt Cloud KMS gebruiken om uw sleutel te genereren of uw eigen sleutels op te geven (door de klant opgegeven versleutelingssleutels).

Het gebruik van de door de klant beheerde sleuteloptie vereist echter extra operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort omvatten.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie):

DP-6: Een beveiligd sleutelbeheerproces gebruiken

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IA-5, SC-12, SC-28 3,6

Beveiligingsprincipe: documenteer en implementeer een standaard voor het beheer van cryptografische sleutels voor ondernemingen, processen en procedures om de levenscyclus van uw sleutel te beheren. Wanneer er een door de klant beheerde sleutel in de services moet worden gebruikt, gebruikt u een beveiligde sleutelkluisservice voor het genereren, distribueren en opslaan van sleutels. Draai uw sleutels en trek deze in op basis van het gedefinieerde schema en wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel.

Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief sleutelgeneratie, distributie en opslag. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van het gedefinieerde schema en wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel. Een bepaald cryptografisch type en minimale sleutelgrootte vereisen bij het genereren van sleutels.

Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) in de workloadservices of toepassingen, moet u de best practices volgen:

  • Gebruik een sleutelhiërarchie om een afzonderlijke gegevensversleutelingssleutel (DEK) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis.
  • Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en worden geïmplementeerd via sleutel-id's in elke service of toepassing.

Als u de levensduur en draagbaarheid van het sleutelmateriaal wilt maximaliseren, brengt u uw eigen sleutel (BYOK) naar de services (dat wil zeggen het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault). Volg de aanbevolen richtlijn om de sleutelgeneratie en sleuteloverdracht uit te voeren.

Opmerking: raadpleeg het onderstaande voor het FIPS 140-2-niveau voor Azure Key Vault-typen en FIPS-nalevings-/validatieniveau.

  • Met software beveiligde sleutels in kluizen (Premium & Standard-SKU's): FIPS 140-2 Level 1
  • Met HSM beveiligde sleutels in kluizen (Premium SKU): FIPS 140-2 Level 2
  • Met HSM beveiligde sleutels in beheerde HSM: FIPS 140-2 Niveau 3

Azure Key Vault Premium maakt gebruik van een gedeelde HSM-infrastructuur in de back-end. Azure Key Vault Managed HSM maakt gebruik van toegewezen, vertrouwelijke service-eindpunten met een toegewezen HSM voor wanneer u een hoger niveau van sleutelbeveiliging nodig hebt.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: gebruik AWS Key Management Service (KMS) om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief sleutelgeneratie, distributie en opslag. Uw sleutels in KMS en uw service roteren en intrekken op basis van het gedefinieerde schema en wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel.

Wanneer er behoefte is aan het gebruik van door de klant beheerde hoofdsleutel van de klant in de workloadservices of -toepassingen, moet u de best practices volgen:

  • Gebruik een sleutelhiërarchie om een afzonderlijke gegevensversleutelingssleutel (DEK) te genereren met uw sleutelversleutelingssleutel (KEK) in uw KMS.
  • Zorg ervoor dat sleutels zijn geregistreerd bij KMS en implementeer via IAM-beleid in elke service of toepassing.

Als u de levensduur en draagbaarheid van het sleutelmateriaal wilt maximaliseren, brengt u uw eigen sleutel (BYOK) naar de services (d.w.z. het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in KMS of Cloud HSM). Volg de aanbevolen richtlijn om de sleutelgeneratie en sleuteloverdracht uit te voeren.

Opmerking: AWS KMS maakt gebruik van gedeelde HSM-infrastructuur in de back-end. Gebruik aangepast sleutelarchief van AWS KMS dat wordt ondersteund door AWS CloudHSM wanneer u uw eigen sleutelarchief en toegewezen HSM's (bijvoorbeeld nalevingsvereisten voor regelgeving voor een hoger niveau van sleutelbeveiliging) moet beheren om uw versleutelingssleutels te genereren en op te slaan.

Opmerking: raadpleeg het onderstaande voor het FIPS 140-2-niveau voor FIPS-nalevingsniveau in AWS KMS en CloudHSM:

  • STANDAARD AWS KMS: FIPS 140-2 Level 2 gevalideerd
  • AWS KMS met CloudHSM: FIPS 140-2 Level 3 (voor bepaalde services) gevalideerd
  • AWS CloudHSM: FIPS 140-2 Level 3 gevalideerd

Opmerking: voor geheimenbeheer (referenties, wachtwoord, API-sleutels, enzovoort) gebruikt u AWS Secrets Manager.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Gebruik Cloud Key Management Service (Cloud KMS) om levenscyclusen van versleutelingssleutels te maken en te beheren in compatibele Google Cloud-services en in uw workloadtoepassingen. Roteer en trek uw sleutels in Cloud KMS en uw service in op basis van het gedefinieerde schema en wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel.

Gebruik de Cloud HSM-service van Google om door hardware ondersteunde sleutels te leveren aan Cloud KMS (Key Management Service) Het biedt u de mogelijkheid om uw eigen cryptografische sleutels te beheren en te gebruiken terwijl u wordt beveiligd door volledig beheerde HSM (Hardware Security Modules).

De Cloud HSM-service maakt gebruik van HSM's. Dit zijn FIPS 140-2 Level 3-gevalideerd en worden altijd uitgevoerd in de FIPS-modus. FIPS 140-2 Level 3-gevalideerd en wordt altijd uitgevoerd in de FIPS-modus. FIPS-standaard specificeert de cryptografische algoritmen en het genereren van willekeurige getallen die door de HSM's worden gebruikt.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie)::

DP-7: Een beveiligd certificaatbeheerproces gebruiken

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IA-5, SC-12, SC-17 3,6

Beveiligingsprincipe: Documenteer en implementeer een bedrijfscertificaatbeheerstandaard, processen en procedures, waaronder het levenscyclusbeheer van certificaten en certificaatbeleid (als er een openbare-sleutelinfrastructuur nodig is).

Zorg ervoor dat certificaten die worden gebruikt door de kritieke services in uw organisatie tijdig worden geïnventariseerd, bijgehouden, bewaakt en vernieuwd met behulp van een geautomatiseerd mechanisme om serviceonderbreking te voorkomen.

Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, inclusief het maken/importeren, draaien, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten de gedefinieerde standaard volgt zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Stel automatische rotatie van het certificaat in Azure Key Vault en ondersteunde Azure-services in op basis van het gedefinieerde schema en wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-endtoepassing, gebruikt u een handmatige rotatie in Azure Key Vault.

Vermijd het gebruik van een zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiligingsgarantie. In plaats daarvan kunt u openbare ondertekende certificaten maken in Azure Key Vault. De volgende certificeringsinstanties (CA's) zijn de partnerproviders die momenteel zijn geïntegreerd met Azure Key Vault.

  • DigiCert: Azure Key Vault biedt OV TLS/SSL-certificaten met DigiCert.
  • GlobalSign: Azure Key Vault biedt OV TLS/SSL-certificaten met GlobalSign.

Opmerking: Gebruik alleen goedgekeurde CA en zorg ervoor dat bekende ongeldige basis-/tussenliggende certificaten die zijn uitgegeven door deze CA's, zijn uitgeschakeld.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: gebruik AWS Certificate Manager (ACM) om de levenscyclus van het certificaat te maken en te beheren, inclusief het maken/importeren, roteren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten de gedefinieerde standaard volgt zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat instellen in ACM en ondersteunde AWS-services op basis van het gedefinieerde schema en wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-endtoepassing, gebruikt u handmatige rotatie in ACM. In de tussentijd moet u altijd de status van uw certificaatvernieuwing bijhouden om de geldigheid van het certificaat te controleren.

Vermijd het gebruik van een zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiligingsgarantie. Maak in plaats daarvan openbaar ondertekende certificaten (ondertekend door de Amazon Certificate Authority) in ACM en implementeer deze programmatisch in services zoals CloudFront, Load Balancers, API Gateway, enzovoort. U kunt ook ACM gebruiken om uw persoonlijke certificeringsinstantie (CA) tot stand te brengen om de persoonlijke certificaten te ondertekenen.

Opmerking: Gebruik alleen een goedgekeurde CA en zorg ervoor dat bekende ongeldige CA-basis-/tussenliggende certificaten die zijn uitgegeven door deze CA's, zijn uitgeschakeld.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Gebruik Google Cloud Certificate Manager om de levenscyclus van het certificaat te maken en te beheren, inclusief maken/importeren, roteren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten de gedefinieerde standaard volgt zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat instellen in Certificate Manager en ondersteunde GCP-services op basis van het gedefinieerde schema en wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-endtoepassing, gebruikt u handmatige rotatie in Certificaatbeheer. In de tussentijd moet u altijd de status van uw certificaatvernieuwing bijhouden om de geldigheid van het certificaat te controleren.

Vermijd het gebruik van een zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiligingsgarantie. In plaats daarvan kunt u ondertekende openbare certificaten maken in Certificate Manager en deze programmatisch implementeren in services zoals Load Balancer en Cloud DNS, enzovoort. U kunt ook de certificeringsinstantieservice gebruiken om uw persoonlijke certificeringsinstantie (CA) tot stand te brengen om de persoonlijke certificaten te ondertekenen.

Opmerking: u kunt Google Cloud Secret Manager ook gebruiken om TLS-certificaten op te slaan.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie)::

DP-8: Beveiliging van sleutel- en certificaatopslagplaats garanderen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IA-5, SC-12, SC-17 3,6

Beveiligingsprincipe: zorg voor de beveiliging van de sleutelkluisservice die wordt gebruikt voor het levenscyclusbeheer van de cryptografische sleutel en het certificaat. Beveilig uw sleutelkluisservice via toegangsbeheer, netwerkbeveiliging, logboekregistratie en bewaking en back-ups om ervoor te zorgen dat sleutels en certificaten altijd worden beveiligd met de maximale beveiliging.

Azure-richtlijnen: beveilig uw cryptografische sleutels en certificaten door uw Azure Key Vault-service te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van RBAC-beleid in Azure Key Vault Beheerde HSM op sleutelniveau om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat er een scheiding van taken is ingesteld voor gebruikers die versleutelingssleutels beheren, zodat ze geen toegang hebben tot versleutelde gegevens en vice versa. Maak voor Azure Key Vault Standard en Premium unieke kluizen voor verschillende toepassingen om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd.
  • Schakel Azure Key Vault-logboekregistratie in om ervoor te zorgen dat kritieke beheervlak- en gegevensvlakactiviteiten worden geregistreerd.
  • Beveilig de Azure-Key Vault met behulp van Private Link en Azure Firewall om ervoor te zorgen dat de service zo min mogelijk wordt blootgesteld
  • Gebruik een beheerde identiteit voor toegang tot sleutels die zijn opgeslagen in Azure Key Vault in uw workloadtoepassingen.
  • Wanneer u gegevens opschont, moet u ervoor zorgen dat uw sleutels niet worden verwijderd voordat de werkelijke gegevens, back-ups en archieven worden verwijderd.
  • Maak een back-up van uw sleutels en certificaten met behulp van Azure Key Vault. Schakel voorlopig verwijderen en beveiliging tegen opschonen in om onbedoelde verwijdering van sleutels te voorkomen. Wanneer sleutels moeten worden verwijderd, kunt u overwegen om sleutels uit te schakelen in plaats van ze te verwijderen om onbedoelde verwijdering van sleutels en cryptografische verwijdering van gegevens te voorkomen.
  • Voor BYOK-use cases (Bring Your Own Key) genereert u sleutels in een on-premises HSM en importeert u deze om de levensduur en draagbaarheid van de sleutels te maximaliseren.
  • Sla sleutels nooit in tekst zonder opmaak op buiten de Azure Key Vault. Sleutels in alle key vault-services kunnen niet standaard worden geëxporteerd.
  • Gebruik door HSM ondersteunde sleuteltypen (RSA-HSM) in Azure Key Vault Premium en Azure Managed HSM voor de hardwarebeveiliging en de sterkste FIPS-niveaus.

Schakel Microsoft Defender voor Key Vault in voor Azure-eigen, geavanceerde bedreigingsbeveiliging voor Azure Key Vault, met een extra laag beveiligingsintelligentie.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: beveilig uw sleutels voor beveiliging met cryptografische sleutels door uw KMS-service (AWS Key Management Service) te beveiligen met behulp van de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van sleutelbeleid (toegangsbeheer op sleutelniveau) in combinatie met IAM-beleid (op identiteit gebaseerd toegangsbeheer) om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat er een scheiding van taken is ingesteld voor gebruikers die versleutelingssleutels beheren, zodat ze geen toegang hebben tot versleutelde gegevens en vice versa.
  • Gebruik rechercheurcontroles zoals CloudTrails om het gebruik van sleutels in KMS te registreren en bij te houden en u te waarschuwen over kritieke acties.
  • Sla sleutels nooit op in tekst zonder opmaak buiten KMS.
  • Wanneer sleutels moeten worden verwijderd, kunt u overwegen om sleutels in KMS uit te schakelen in plaats van ze te verwijderen om onbedoelde verwijdering van sleutels en cryptografische verwijdering van gegevens te voorkomen.
  • Wanneer u gegevens opschont, moet u ervoor zorgen dat uw sleutels niet worden verwijderd voordat de werkelijke gegevens, back-ups en archieven worden verwijderd.
  • Voor byok (Bring Your Own Key) gebruikt u cases, genereert u sleutels in een on-premises HSM en importeert u deze om de levensduur en draagbaarheid van de sleutels te maximaliseren.

Beveilig uw certificaten voor de beveiliging van certificaten door uw AWS Certificate Manager-service (ACM) te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van beleid op resourceniveau in combinatie met IAM-beleid (op identiteit gebaseerd toegangsbeheer) om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat er scheiding van taken is voor gebruikersaccounts: gebruikersaccounts die certificaten genereren, staan los van de gebruikersaccounts waarvoor alleen alleen-lezentoegang tot certificaten is vereist.
  • Gebruik rechercheurcontroles zoals CloudTrails om het gebruik van de certificaten in ACM te registreren en bij te houden en u te waarschuwen over kritieke acties.
  • Volg de KMS-beveiligingsrichtlijnen om uw persoonlijke sleutel (gegenereerd voor certificaataanvraag) te beveiligen die wordt gebruikt voor servicecertificaatintegratie.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: beveilig uw sleutels voor de beveiliging van cryptografische sleutels door uw Key Management Service te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van IAM-rollen om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat er een scheiding van taken is ingesteld voor gebruikers die versleutelingssleutels beheren, zodat ze geen toegang hebben tot versleutelde gegevens en vice versa.
  • Maak voor elk project een afzonderlijke sleutelring waarmee u eenvoudig de toegang tot de sleutels kunt beheren en beheren volgens de best practice met minimale bevoegdheden. Het maakt het ook gemakkelijker om te controleren wie op welk moment toegang heeft tot welke sleutels.
  • Schakel automatische rotatie van sleutels in om ervoor te zorgen dat sleutels regelmatig worden bijgewerkt en vernieuwd. Dit helpt u te beschermen tegen potentiële beveiligingsrisico's, zoals beveiligingsaanvallen of kwaadwillende actoren die toegang proberen te krijgen tot gevoelige informatie.
  • Stel een sink voor auditlogboeken in om alle activiteiten bij te houden die plaatsvinden in uw GCP KMS-omgeving.

Voor de beveiliging van certificaten beveiligt u uw certificaten door uw GCP Certificate Manager en certificate authority-service te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van beleid op resourceniveau in combinatie met IAM-beleid (op identiteit gebaseerd toegangsbeheer) om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat er scheiding van taken is voor gebruikersaccounts: gebruikersaccounts die certificaten genereren, staan los van de gebruikersaccounts waarvoor alleen alleen-lezentoegang tot certificaten is vereist.
  • Gebruik controlemechanismen zoals auditlogboeken in de cloud om het gebruik van de certificaten in Certificate Manager te registreren en bij te houden en u te waarschuwen over kritieke acties.
  • Secret Manager biedt ook ondersteuning voor opslag van TLS-certificaten. U moet de vergelijkbare beveiligingspraktijk volgen om de beveiligingscontroles in Secret Manager te implementeren.

GCP-implementatie en aanvullende context:

Belanghebbenden bij de beveiliging van klanten (meer informatie)::