Kontrola zabezpieczeń: ochrona danych

Artykuł
08/02/2023

Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, zarządzania kluczami i zarządzania certyfikatami.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.2, 3.7, 3.13	RA-2, SC-28	A3.2

Zasada zabezpieczeń: ustanów i zachowaj spis poufnych danych na podstawie zdefiniowanego zakresu poufnych danych. Użyj narzędzi do odnajdywania, klasyfikowania i etykietowania poufnych danych w zakresie.

Wskazówki dotyczące platformy Azure: użyj narzędzi, takich jak Microsoft Purview, które łączą dawne rozwiązania do obsługi usług Azure Purview i Microsoft 365 oraz Azure SQL odnajdywanie i klasyfikacja danych w celu centralnego skanowania, klasyfikowania i etykietowania poufnych danych znajdujących się na platformie Azure, lokalnie, na platformie Microsoft 365 i innych lokalizacjach.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Replikowanie danych z różnych źródeł do zasobnika magazynu S3 i używanie narzędzia AWS Macie do skanowania, klasyfikowania i etykietowania poufnych danych przechowywanych w zasobniku. Platforma AWS Macie może wykrywać poufne dane, takie jak poświadczenia zabezpieczeń, informacje finansowe, dane phi i PII lub inne wzorce danych na podstawie niestandardowych reguł identyfikatora danych.

Możesz również użyć łącznika skanowania w wielu chmurach usługi Azure Purview do skanowania, klasyfikowania i etykietowania poufnych danych znajdujących się w zasobniku magazynu S3.

Uwaga: do celów klasyfikacji i etykietowania odnajdywania danych można również używać rozwiązań innych firm z platformy AWS marketplace.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: użyj narzędzi, takich jak Ochrona przed utratą danych w chmurze Google, aby centralnie skanować, klasyfikować i oznaczać poufne dane znajdujące się w środowiskach GCP i lokalnych.

Ponadto użyj usługi Google Cloud Data Catalog, aby użyć wyników skanowania ochrony przed utratą danych w chmurze (DLP), aby zidentyfikować poufne dane z zdefiniowanymi szablonami tagów.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.13	AC-4, SI-4	A3.2

Zasada zabezpieczeń: monitoruj anomalie dotyczące poufnych danych, takich jak nieautoryzowany transfer danych do lokalizacji spoza widoczności i kontroli przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

Wskazówki dotyczące platformy Azure: monitorowanie danych sklasyfikowanych i oznaczonych etykietami za pomocą usługi Azure Information Protection (AIP).

Użyj Microsoft Defender dla usługi Storage, Microsoft Defender dla języka SQL, Microsoft Defender dla relacyjnych baz danych typu open source i Microsoft Defender dla usługi Cosmos DB, aby otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych danych Informacji.

Uwaga: jeśli jest to wymagane w celu zapewnienia zgodności ochrony przed utratą danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z Azure Marketplace lub rozwiązania DLP platformy Microsoft 365 w celu wymuszania mechanizmów wykrywania i/lub kontroli zapobiegania w celu zapobiegania eksfiltracji danych.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Używanie platformy AWS Macie do monitorowania danych sklasyfikowanych i oznaczonych etykietami oraz wykrywania nietypowych działań w niektórych zasobach (S3, EC2 lub Kubernetes lub IAM). Wyniki i alerty można sklasyfikować, analizować i śledzić przy użyciu rozwiązania EventBridge oraz przekazywać je do usługi Microsoft Sentinel lub Security Hub w celu agregacji i śledzenia zdarzeń.

Możesz również połączyć konta platformy AWS z Microsoft Defender dla chmury w celu sprawdzania zgodności, zabezpieczeń kontenera i możliwości zabezpieczeń punktu końcowego.

Uwaga: Jeśli jest to wymagane do zapewnienia zgodności ochrony przed utratą danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z witryny AWS Marketplace.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Użyj usługi Google Cloud Security Command Center/wykrywania zagrożeń zdarzeń/wykrywania anomalii, aby otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Możesz również połączyć konta GCP z Microsoft Defender dla chmury w celu sprawdzania zgodności, zabezpieczeń kontenera i możliwości zabezpieczeń punktu końcowego.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

DP-3: Szyfrowanie poufnych danych przesyłanych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.10	SC-8	3.5, 3.6, 4.1

Zasada zabezpieczeń: ochrona danych przesyłanych przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Ustaw granicę sieci i zakres usługi, w którym dane przesyłane są obowiązkowe wewnątrz i poza siecią. Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych.

Wskazówki dotyczące platformy Azure: wymuszanie bezpiecznego transferu w usługach, takich jak Azure Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.

Wymuszaj protokół HTTPS dla obciążeń i usług aplikacji internetowych, zapewniając, że wszyscy klienci łączący się z zasobami platformy Azure używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.

W przypadku zdalnego zarządzania maszynami wirtualnymi platformy Azure użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. W celu bezpiecznego transferu plików należy użyć usługi SFTP/FTPS w usłudze Azure Storage Blob, App Service aplikacji i aplikacji funkcji, zamiast używać regularnej usługi FTP.

Uwaga: szyfrowanie tranzytowe danych jest włączone dla całego ruchu platformy Azure przesyłanego między centrami danych platformy Azure. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług platformy Azure. Niektóre usługi, takie jak Azure Storage i Application Gateway, mogą wymuszać protokół TLS w wersji 1.2 lub nowszej po stronie serwera.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: wymuszanie bezpiecznego transferu w usługach, takich jak Amazon S3, RDS i CloudFront, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.

Wymuszaj protokół HTTPS (na przykład w usłudze AWS Elastic Load Balancer) dla aplikacji i usług internetowych obciążeń (po stronie serwera lub po stronie klienta lub po obu stronach), zapewniając, że wszyscy klienci łączący się z zasobami platformy AWS używają protokołu TLS w wersji 1.2 lub nowszej.

W przypadku zdalnego zarządzania wystąpieniami usługi EC2 użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Do bezpiecznego transferu plików należy użyć usługi AWS Transfer SFTP lub FTPS zamiast regularnej usługi FTP.

Uwaga: cały ruch sieciowy między centrami danych platformy AWS jest niewidocznie szyfrowany w warstwie fizycznej. Cały ruch w ramach VPC i między równorzędnymi sieciami VPN w różnych regionach jest niewidocznie szyfrowany w warstwie sieciowej podczas korzystania z obsługiwanych typów wystąpień usługi Amazon EC2. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług AWS. Niektóre usługi, takie jak AWS Load Balancer, mogą wymuszać protokół TLS w wersji 1.2 lub nowszej po stronie serwera.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Wymuszanie bezpiecznego transferu w usługach, takich jak Google Cloud Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.

Wymuszaj protokół HTTPS dla obciążeń i usług aplikacji internetowych, zapewniając, że wszyscy klienci łączący się z zasobami GCP używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej.

W przypadku zdalnego zarządzania usługą Google Cloud Compute Engine użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Do bezpiecznego transferu plików należy użyć usługi SFTP/FTPS w usługach, takich jak Google Cloud Big Query lub Cloud App Engine, zamiast zwykłej usługi FTP.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.11	SC-28	3.4, 3.5

Zasada zabezpieczeń: Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami typu "poza pasmem" (takimi jak uzyskiwanie dostępu do magazynu bazowego) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure ma domyślnie włączone szyfrowanie magazynowane w warstwie infrastruktury przy użyciu klucza zarządzanego przez usługę. Te klucze zarządzane przez usługę są generowane w imieniu klienta i automatycznie obracane co dwa lata.

Jeśli technicznie możliwe i nie jest domyślnie włączone, można włączyć szyfrowanie danych magazynowanych w usługach platformy Azure lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub bazy danych.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Wiele usług AWS ma domyślnie włączone szyfrowanie magazynowane w warstwie infrastruktury/platformy przy użyciu klucza głównego klienta zarządzanego przez platformę AWS. Te klucze główne klienta zarządzane przez platformę AWS są generowane w imieniu klienta i obracane automatycznie co trzy lata.

Jeśli technicznie możliwe i nie jest domyślnie włączone, można włączyć szyfrowanie danych magazynowanych w usługach AWS lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub bazy danych.

Implementacja platformy AWS i dodatkowy kontekst:

Ochrona danych magazynowanych przez platformę AWS

Wskazówki dotyczące platformy GCP: Wiele produktów i usług Google Cloud ma domyślnie włączone szyfrowanie magazynowane w warstwie infrastruktury przy użyciu klucza zarządzanego przez usługę. Te klucze zarządzane przez usługę są generowane w imieniu klienta i automatycznie obracane.

Jeśli technicznie możliwe i nie jest domyślnie włączone, można włączyć szyfrowanie danych magazynowanych w usługach GCP lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub bazy danych.

Uwaga: zapoznaj się z dokumentem "Szczegółowość szyfrowania dla usług Google Cloud", aby uzyskać dodatkowe informacje.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.11	SC-12, SC-28	3.4, 3.5, 3.6

Zasada zabezpieczeń: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym jest wymagana opcja klucza zarządzanego przez klienta. Włączanie i implementowanie szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez klienta w usługach.

Wskazówki dotyczące platformy Azure: platforma Azure udostępnia również opcję szyfrowania przy użyciu kluczy zarządzanych samodzielnie (kluczy zarządzanych przez klienta) dla większości usług.

Moduł HSM usługi Azure Key Vault w warstwie Standardowa, Premium i Zarządzane są natywnie zintegrowane z wieloma usługami platformy Azure na potrzeby przypadków użycia kluczy zarządzanych przez klienta. Możesz użyć usługi Azure Key Vault do wygenerowania klucza lub użycia własnych kluczy.

Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowego nakładu pracy operacyjnej w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: platforma AWS udostępnia również opcję szyfrowania przy użyciu kluczy zarządzanych samodzielnie (klucz główny klienta zarządzany przez klienta przechowywany w usłudze AWS Key Management Service) dla niektórych usług.

Usługa ZARZĄDZANIA kluczami platformy AWS (KMS) jest natywnie zintegrowana z wieloma usługami AWS dla przypadków użycia klucza głównego klienta zarządzanego przez klienta. Możesz użyć usługi ZARZĄDZANIA kluczami platformy AWS (KMS), aby wygenerować klucze główne lub przenieść własne klucze.

Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowych działań operacyjnych w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Usługa Google Cloud udostępnia opcję szyfrowania przy użyciu kluczy zarządzanych samodzielnie (kluczy zarządzanych przez klienta) dla większości usług.

Usługa Google Cloud Key Management Service (Cloud KMS) jest natywnie zintegrowana z wieloma usługami GCP dla kluczy szyfrowania zarządzanych przez klienta. Te klucze można tworzyć i zarządzać przy użyciu usługi KMS w chmurze, a klucze są przechowywane jako klucze oprogramowania, w klastrze HSM lub zewnętrznie. Za pomocą usługi KMS w chmurze możesz wygenerować klucz lub podać własne klucze (klucze szyfrowania dostarczone przez klienta).

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy	IA-5, SC-12, SC-28	3,6

Zasada zabezpieczeń: Dokumentowanie i implementowanie standardu, procesów i procedur zarządzania kluczami kryptograficznymi przedsiębiorstwa w celu kontrolowania cyklu życia klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta w usługach, użyj zabezpieczonej usługi magazynu kluczy na potrzeby generowania, dystrybucji i magazynowania kluczy. Obracanie i odwoływanie kluczy na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń.

Wskazówki dotyczące platformy Azure: korzystanie z usługi Azure Key Vault do tworzenia i kontrolowania cyklu życia kluczy szyfrowania, w tym generowania kluczy, dystrybucji i magazynu. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu oraz po przejściu na emeryturę lub naruszenie klucza. Wymagaj określonego typu kryptograficznego i minimalnego rozmiaru klucza podczas generowania kluczy.

Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) w usługach lub aplikacjach obciążeń, upewnij się, że stosujesz najlepsze rozwiązania:

Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania klucza (KEK) w magazynie kluczy.
Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i implementowane za pośrednictwem identyfikatorów kluczy w każdej usłudze lub aplikacji.

Aby zmaksymalizować okres istnienia i przenośność klucza klucza, należy przenieść własny klucz (BYOK) do usług (tj. zaimportować klucze chronione przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault). Postępuj zgodnie z zalecanymi wskazówkami, aby przeprowadzić generowanie kluczy i transfer kluczy.

Uwaga: zapoznaj się z poniższymi tematami dotyczącymi poziomu FIPS 140-2 dla typów Key Vault platformy Azure i poziomu zgodności/walidacji ze standardem FIPS.

Klucze chronione programowo w magazynach (jednostki SKU Premium & Standard): FIPS 140-2 Poziom 1
Klucze chronione przez moduł HSM w magazynach (jednostka SKU Premium): FIPS 140-2 Poziom 2
Klucze chronione przez moduł HSM w zarządzanym module HSM: FIPS 140-2 Poziom 3

Usługa Azure Key Vault Premium korzysta z udostępnionej infrastruktury HSM w zapleczu. Usługa Azure Key Vault Zarządzany moduł HSM używa dedykowanych, poufnych punktów końcowych usługi z dedykowanym modułem HSM, jeśli potrzebujesz wyższego poziomu zabezpieczeń kluczy.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Tworzenie i kontrolowanie cyklu życia kluczy szyfrowania, w tym generowania kluczy, dystrybucji i magazynowania za pomocą usługi AWS Key Management Service (KMS). Obracanie i odwoływanie kluczy w usłudze KMS i usłudze na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń.

Jeśli istnieje potrzeba użycia klucza głównego klienta zarządzanego przez klienta w usługach lub aplikacjach obciążeń, upewnij się, że stosujesz najlepsze rozwiązania:

Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania klucza (KEK) w usłudze KMS.
Upewnij się, że klucze są zarejestrowane w usłudze KMS i implementowane za pośrednictwem zasad zarządzania dostępem i tożsamościami w każdej usłudze lub aplikacji.

Aby zmaksymalizować okres istnienia i przenośność klucza klucza, należy przenieść własny klucz (BYOK) do usług (tj. zaimportować klucze chronione przez moduł HSM z lokalnych modułów HSM do usługi KMS lub modułu HSM w chmurze). Postępuj zgodnie z zalecanymi wskazówkami, aby przeprowadzić generowanie kluczy i transfer kluczy.

Uwaga: usługa AWS KMS używa udostępnionej infrastruktury HSM w zapleczu. Użyj niestandardowego magazynu kluczy usługi AWS KMS wspieranego przez usługę AWS CloudHSM, jeśli musisz zarządzać własnym magazynem kluczy i dedykowanymi modułami HSM (np. wymaganiami dotyczącymi zgodności z przepisami na wyższym poziomie zabezpieczeń kluczy), aby wygenerować i przechowywać klucze szyfrowania.

Uwaga: zapoznaj się z poniższymi tematami dotyczącymi poziomu zgodności ze standardem FIPS 140-2 w usługach AWS KMS i CloudHSM:

Wartość domyślna usługi AWS KMS: zweryfikowane ze standardem FIPS 140–2 poziom 2
Usługa AWS KMS korzystająca z usługi CloudHSM: zweryfikowane ze standardem FIPS 140-2 Poziom 3 (dla niektórych usług)
AWS CloudHSM: zweryfikowany standard FIPS 140-2 poziom 3

Uwaga: w przypadku zarządzania wpisami tajnymi (poświadczenia, hasło, klucze interfejsu API itp.) należy użyć usługi AWS Secrets Manager.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Usługa zarządzania kluczami w chmurze (Cloud KMS) umożliwia tworzenie cykli życia kluczy szyfrowania i zarządzanie nimi w zgodnych usługach Google Cloud Services i w aplikacjach obciążeń. Obracanie i odwoływanie kluczy w usłudze KMS w chmurze oraz usługi na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń.

Usługa HsM w chmurze firmy Google umożliwia dostarczanie kluczy opartych na sprzęcie do usługi KMS w chmurze (usługa zarządzania kluczami) Umożliwia zarządzanie własnymi kluczami kryptograficznymi i korzystanie z nich, a jednocześnie jest chronione przez w pełni zarządzane sprzętowe moduły zabezpieczeń (HSM).

Usługa Cloud HSM używa modułów HSM, które są weryfikowane w trybie FIPS 140-2 poziom 3 i są zawsze uruchomione w trybie FIPS. Zweryfikowane ze standardem FIPS 140-2 poziom 3 i zawsze działają w trybie FIPS. Standard FIPS określa algorytmy kryptograficzne i generowanie liczb losowych używanych przez moduły HSM.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy	IA-5, SC-12, SC-17	3,6

Zasada zabezpieczeń: Dokumentowanie i implementowanie standardu zarządzania certyfikatami przedsiębiorstwa, procesów i procedur, które obejmują kontrolę cyklu życia certyfikatu i zasady certyfikatów (jeśli wymagana jest infrastruktura klucza publicznego).

Upewnij się, że certyfikaty używane przez usługi krytyczne w organizacji są spisywane, śledzone, monitorowane i odnawiane w czasie przy użyciu zautomatyzowanego mechanizmu, aby uniknąć zakłóceń w działaniu usług.

Wskazówki dotyczące platformy Azure: korzystanie z usługi Azure Key Vault do tworzenia i kontrolowania cyklu życia certyfikatu, w tym tworzenia/importowania, rotacji, odwoływania, przechowywania i przeczyszczania certyfikatu. Upewnij się, że generowanie certyfikatu jest zgodne ze zdefiniowanym standardem bez używania niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i obsługiwanych usług platformy Azure na podstawie zdefiniowanego harmonogramu i daty wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, użyj rotacji ręcznej w usłudze Azure Key Vault.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolem wieloznacznym w usługach krytycznych ze względu na ograniczoną pewność bezpieczeństwa. Zamiast tego możesz utworzyć certyfikaty podpisane publicznie w usłudze Azure Key Vault. Następujące urzędy certyfikacji to dostawcy partnerów, którzy są obecnie zintegrowani z usługą Azure Key Vault.

DigiCert: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z firmą DigiCert.
GlobalSign: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z globalsign.

Uwaga: użyj tylko zatwierdzonego urzędu certyfikacji i upewnij się, że znane złe certyfikaty główne/pośrednie wystawione przez te urzędy certyfikacji są wyłączone.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Tworzenie i kontrolowanie cyklu życia certyfikatu za pomocą Menedżera certyfikatów platformy AWS, w tym tworzenia/importowania, rotacji, odwoływania, przechowywania i przeczyszczania certyfikatu. Upewnij się, że generowanie certyfikatu jest zgodne ze zdefiniowanym standardem bez używania niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w usłudze ACM i obsługiwane usługi AWS na podstawie zdefiniowanego harmonogramu i czasu wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, użyj rotacji ręcznej w usłudze ACM. W międzyczasie należy zawsze śledzić stan odnawiania certyfikatu, aby zapewnić ważność certyfikatu.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolem wieloznacznym w usługach krytycznych ze względu na ograniczoną pewność bezpieczeństwa. Zamiast tego należy utworzyć certyfikaty z podpisem publicznym (podpisane przez urząd certyfikacji Firmy Amazon) w usłudze ACM i wdrożyć je programowo w usługach, takich jak CloudFront, Load Balancers, API Gateway itp. Możesz również użyć usługi ACM, aby ustanowić prywatny urząd certyfikacji w celu podpisania certyfikatów prywatnych.

Uwaga: użyj tylko zatwierdzonego urzędu certyfikacji i upewnij się, że znane złe certyfikaty główne/pośrednie urzędu certyfikacji wystawione przez te urzędy certyfikacji są wyłączone.

Implementacja platformy AWS i dodatkowy kontekst:

Menedżer certyfikatów platformy AWS — sprawdzanie stanu odnowienia certyfikatu

Wskazówki dotyczące platformy GCP: Użyj Menedżera certyfikatów w chmurze Google, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie/importowanie, rotację, odwoływanie, przechowywanie i przeczyszczanie certyfikatu. Upewnij się, że generowanie certyfikatu jest zgodne ze zdefiniowanym standardem bez używania niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w Menedżerze certyfikatów i obsługiwane usługi GCP na podstawie zdefiniowanego harmonogramu i po wygaśnięciu certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, należy użyć ręcznej rotacji w Menedżerze certyfikatów. W międzyczasie należy zawsze śledzić stan odnawiania certyfikatu, aby zapewnić ważność certyfikatu.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolem wieloznacznym w usługach krytycznych ze względu na ograniczoną pewność bezpieczeństwa. Zamiast tego możesz utworzyć podpisane certyfikaty publiczne w Menedżerze certyfikatów i wdrożyć je programowo w usługach, takich jak Load Balancer i Cloud DNS itp. Możesz również użyć usługi urzędu certyfikacji, aby ustanowić prywatny urząd certyfikacji w celu podpisania certyfikatów prywatnych.

Uwaga: do przechowywania certyfikatów TLS można również użyć usługi Google Cloud Secret Manager.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-8: Zapewnianie bezpieczeństwa klucza i repozytorium certyfikatów

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy	IA-5, SC-12, SC-17	3,6

Zasada zabezpieczeń: Upewnij się, że zabezpieczenia usługi magazynu kluczy używanej do zarządzania kluczem kryptograficznym i cyklem życia certyfikatu. Wzmacnianie zabezpieczeń usługi magazynu kluczy za pomocą kontroli dostępu, zabezpieczeń sieci, rejestrowania i monitorowania oraz tworzenia kopii zapasowych w celu zapewnienia, że klucze i certyfikaty są zawsze chronione przy użyciu maksymalnego poziomu zabezpieczeń.

Wskazówki dotyczące platformy Azure: Zabezpieczanie kluczy kryptograficznych i certyfikatów przez wzmocnienie zabezpieczeń usługi Azure Key Vault za pomocą następujących kontrolek:

Zaimplementuj kontrolę dostępu przy użyciu zasad kontroli dostępu opartej na rolach w usłudze Azure Key Vault Zarządzany moduł HSM na kluczowym poziomie, aby zapewnić przestrzeganie zasad najniższych uprawnień i separacji obowiązków. Na przykład należy zapewnić rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, dzięki czemu nie mają możliwości uzyskiwania dostępu do zaszyfrowanych danych i na odwrót. W przypadku platformy Azure Key Vault w warstwie Standardowa i Premium utwórz unikatowe magazyny dla różnych aplikacji, aby zapewnić przestrzeganie najniższych uprawnień i rozdzielenia zasad obowiązków.
Włącz rejestrowanie usługi Azure Key Vault, aby upewnić się, że są rejestrowane krytyczne działania płaszczyzny zarządzania i płaszczyzny danych.
Zabezpieczanie usługi Azure Key Vault przy użyciu Private Link i Azure Firewall w celu zapewnienia minimalnej ekspozycji usługi
Użyj tożsamości zarządzanej, aby uzyskać dostęp do kluczy przechowywanych w usłudze Azure Key Vault w aplikacjach obciążeń.
Podczas przeczyszczania danych upewnij się, że klucze nie są usuwane przed rzeczywistymi danymi, kopie zapasowe i archiwa są czyszczone.
Tworzenie kopii zapasowych kluczy i certyfikatów przy użyciu usługi Azure Key Vault. Włącz usuwanie nietrwałe i ochronę przed przeczyszczaniem, aby uniknąć przypadkowego usunięcia kluczy. Jeśli trzeba usunąć klucze, rozważ wyłączenie kluczy zamiast ich usuwania, aby uniknąć przypadkowego usunięcia kluczy i kryptograficznego wymazywania danych.
W przypadku przypadków użycia byOK (Bring Your Own Key) należy wygenerować klucze w lokalnym module HSM i zaimportować je w celu zmaksymalizowania okresu istnienia i przenośności kluczy.
Nigdy nie przechowuj kluczy w formacie zwykłego tekstu poza usługą Azure Key Vault. Klucze we wszystkich usługach magazynu kluczy nie można eksportować domyślnie.
Używaj typów kluczy opartych na module HSM (RSA-HSM) w usłudze Azure Key Vault Premium i zarządzanym przez platformę Azure module HSM na potrzeby ochrony sprzętowej i najsilniejszych poziomów FIPS.

Włącz usługę Microsoft Defender for Key Vault dla natywnej dla platformy Azure zaawansowanej ochrony przed zagrożeniami dla usługi Azure Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: W przypadku zabezpieczeń kluczy kryptograficznych należy zabezpieczyć klucze przez wzmocnienie zabezpieczeń usługi AWS Key Management Service (KMS) za pomocą następujących mechanizmów kontroli:

Zaimplementuj kontrolę dostępu przy użyciu zasad klucza (kontroli dostępu na poziomie klucza) w połączeniu z zasadami zarządzania dostępem i tożsamościami (kontrola dostępu oparta na tożsamościach), aby zapewnić przestrzeganie najniższych uprawnień i separacji zasad obowiązków. Na przykład należy zapewnić rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, dzięki czemu nie mają możliwości uzyskiwania dostępu do zaszyfrowanych danych i na odwrót.
Za pomocą mechanizmów wykrywania, takich jak CloudTrails, można rejestrować i śledzić użycie kluczy w usłudze KMS oraz powiadamiać o akcjach krytycznych.
Nigdy nie przechowuj kluczy w formacie zwykłego tekstu poza kluczami usługi KMS.
Jeśli trzeba usunąć klucze, rozważ wyłączenie kluczy w usłudze KMS zamiast ich usuwania, aby uniknąć przypadkowego usunięcia kluczy i kryptograficznego wymazywania danych.
Podczas przeczyszczania danych upewnij się, że klucze nie są usuwane przed rzeczywistymi danymi, kopie zapasowe i archiwa są czyszczone.
W przypadku przypadków użycia własnego klucza (BYOK) należy wygenerować klucze w lokalnym module HSM i zaimportować je w celu zmaksymalizowania okresu istnienia i przenośności kluczy.

W przypadku zabezpieczeń certyfikatów należy zabezpieczyć certyfikaty przez wzmocnienie zabezpieczeń usługi AWS Certificate Manager (ACM) za pomocą następujących mechanizmów kontroli:

Zaimplementuj kontrolę dostępu przy użyciu zasad na poziomie zasobów w połączeniu z zasadami zarządzania dostępem i tożsamościami (kontrola dostępu oparta na tożsamościach), aby zapewnić przestrzeganie zasad najniższych uprawnień i separacji obowiązków. Na przykład upewnij się, że rozdzielenie obowiązków jest stosowane dla kont użytkowników: konta użytkowników, które generują certyfikaty, są oddzielone od kont użytkowników, którzy wymagają tylko dostępu tylko do odczytu do certyfikatów.
Użyj kontrolek detektywów, takich jak CloudTrails, aby rejestrować i śledzić użycie certyfikatów w usłudze ACM oraz powiadamiać o akcjach krytycznych.
Postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń usługi KMS, aby zabezpieczyć klucz prywatny (wygenerowany na potrzeby żądania certyfikatu) używany do integracji certyfikatu usługi.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: W przypadku zabezpieczeń kluczy kryptograficznych należy zabezpieczyć klucze, zabezpieczając usługę zarządzania kluczami za pomocą następujących mechanizmów kontroli:

Zaimplementuj kontrolę dostępu przy użyciu ról zarządzania dostępem i tożsamościami, aby zapewnić przestrzeganie najniższych uprawnień i separacji zasad obowiązków. Na przykład należy zapewnić rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, dzięki czemu nie mają możliwości uzyskiwania dostępu do zaszyfrowanych danych i na odwrót.
Utwórz oddzielny pierścień kluczy dla każdego projektu, który umożliwia łatwe zarządzanie dostępem do kluczy i kontrolowanie go zgodnie z najlepszymi rozwiązaniami dotyczącymi najniższych uprawnień. Ułatwia to również przeprowadzanie inspekcji osób, które mają dostęp do kluczy w czasie.
Włącz automatyczną rotację kluczy, aby upewnić się, że klucze są regularnie aktualizowane i odświeżane. Pomaga to chronić przed potencjalnymi zagrożeniami bezpieczeństwa, takimi jak ataki siłowe lub złośliwe podmioty próbujące uzyskać dostęp do poufnych informacji.
Skonfiguruj ujście dziennika inspekcji, aby śledzić wszystkie działania wykonywane w środowisku usługi KMS GCP.

W przypadku zabezpieczeń certyfikatów należy zabezpieczyć certyfikaty, wzmacniając zabezpieczenia menedżera certyfikatów GCP i usługi urzędu certyfikacji za pomocą następujących mechanizmów kontroli:

Zaimplementuj kontrolę dostępu przy użyciu zasad na poziomie zasobów w połączeniu z zasadami zarządzania dostępem i tożsamościami (kontrola dostępu oparta na tożsamościach), aby zapewnić przestrzeganie zasad najniższych uprawnień i separacji obowiązków. Na przykład upewnij się, że rozdzielenie obowiązków jest stosowane dla kont użytkowników: konta użytkowników, które generują certyfikaty, są oddzielone od kont użytkowników, którzy wymagają tylko dostępu tylko do odczytu do certyfikatów.
Użyj mechanizmów wykrywania, takich jak dzienniki inspekcji chmury, aby rejestrować i śledzić użycie certyfikatów w Menedżerze certyfikatów oraz powiadamiać o akcjach krytycznych.
Usługa Secret Manager obsługuje również przechowywanie certyfikatu TLS. Aby zaimplementować mechanizmy kontroli zabezpieczeń w usłudze Secret Manager, należy postępować zgodnie z podobnymi rozwiązaniami w zakresie zabezpieczeń.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

Kontrola zabezpieczeń: ochrona danych

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

DP-3: Szyfrowanie poufnych danych przesyłanych

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

DP-8: Zapewnianie bezpieczeństwa klucza i repozytorium certyfikatów

Dodatkowe zasoby