安全性控制:數據保護
數據保護涵蓋待用數據保護、傳輸中,以及透過授權的存取機制來控制,包括使用訪問控制、加密、密鑰管理和憑證管理來探索、分類、保護及監視敏感數據資產。|
DP-1:探索、分類及標記敏感性資料
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2、SC-28 | A3.2 |
安全性準則:根據定義的敏感數據範圍,建立和維護敏感數據的清查。 使用工具來探索、分類和標記範圍內敏感數據。
Azure 指引:使用 Microsoft Purview 之類的工具,結合先前的 Azure Purview 和 Microsoft 365 合規性解決方案,以及 Azure SQL 數據探索和分類,集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 和其他位置的敏感數據。
Azure 實作和其他內容:
AWS指引:將數據從各種來源複寫到 S3 記憶體貯體,並使用 AWS Macie 掃描、分類和標記儲存在貯體中的敏感數據。 AWS Macie 可以根據自定義數據標識碼規則來偵測敏感數據,例如安全性認證、財務資訊、PHI 和 PII 數據或其他數據模式。
您也可以使用 Azure Purview 多雲端掃描連接器來掃描、分類和標記位於 S3 記憶體貯體中的敏感數據。
注意:您也可以使用 AWS 市集中的第三方企業解決方案,以用於數據探索分類和標記。
AWS 實作和其他內容:
GCP指引:使用Google Cloud資料外洩防護之類的工具來集中掃描、分類和標記位於 GCP 和內部部署環境中的敏感數據。
此外,使用 Google Cloud 資料目錄 利用雲端數據外洩防護的結果, (DLP) 掃描來識別已定義的卷標範本的敏感數據。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-2:監視以敏感性資料為目標的異常和威脅
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.13 | AC-4、SI-4 | A3.2 |
安全性準則:監視敏感數據的異常狀況,例如未經授權的數據傳輸至企業可見度和控制外部的位置。 這通常牽涉到監視是否有異常活動 (大規模或不尋常的傳輸) 可能意味著未經授權的資料外洩。
Azure 指引:使用 Azure 資訊保護 (AIP) 來監視已分類和標示的數據。
針對記憶體使用 Microsoft Defender、SQL Microsoft Defender、開放原始碼關係資料庫 Microsoft Defender,以及針對 Cosmos DB 使用 Microsoft Defender,以警示可能表示未經授權傳輸敏感數據的資訊異常傳輸資訊。
注意:如果需要符合數據外泄防護 (DLP) ,您可以使用主機型 DLP 解決方案,從 Azure Marketplace 或 Microsoft 365 DLP 解決方案強制執行偵測和/或預防控件,以防止數據外泄。
Azure 實作和其他內容:
- 啟用 Azure Defender for SQL
- 啟用適用於記憶體的 Azure Defender
- 啟用適用於 Azure Cosmos DB 的 Microsoft Defender
- 針對開放原始碼關聯式資料庫啟用 Azure Defender 與回應警示
AWS指引:使用 AWS Macie 來監視已分類和標示的數據,並使用 GuardDuty 來偵測某些資源上的異常活動, (S3、EC2 或 Kubernetes 或 IAM 資源) 。 結果和警示可以使用 EventBridge 分級、分析及追蹤,並轉送至 Microsoft Sentinel 或安全性中樞以進行事件匯總和追蹤。
您也可以將 AWS 帳戶連線到雲端 Microsoft Defender,以進行合規性檢查、容器安全性和端點安全性功能。
注意:如果需要符合數據外泄防護 (DLP) ,您可以從 AWS Marketplace 使用主機型 DLP 解決方案。
AWS 實作和其他內容:
GCP指引:使用 Google Cloud Security Command Center/Event Threat Detection/Anomaly Detection 來警示可能表示未經授權傳輸敏感數據資訊的信息異常傳輸。
您也可以將 GCP 帳戶連線到雲端 Microsoft Defender,以進行合規性檢查、容器安全性和端點安全性功能。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-3:加密傳輸中的敏感性資料
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
安全性原則:保護傳輸中的數據不受「頻外」攻擊 (例如使用加密擷取) 流量擷取,以確保攻擊者無法輕鬆地讀取或修改數據。
設定網路界限和服務範圍,其中傳輸加密中的數據在網路內外是必要的。 雖然這對於私人網路的流量而言為選擇性,但對於外部和公用網路的流量而言不可或缺。
Azure 指引:在 Azure 記憶體等服務中強制執行安全傳輸,其中內建傳輸中的原生數據加密功能。
確保連線到 Azure 資源的任何用戶端都使用傳輸層安全性, (TLS) v1.2 或更新版本,強制執行 Web 應用程式工作負載和服務的 HTTPS。 若要遠端管理 VM,請使用適用於 Linux) 的 SSH (或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。
若要遠端管理 Azure 虛擬機,請使用適用於 Linux 的 SSH () 或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。 如需安全檔傳輸,請使用 Azure 記憶體 Blob 中的 SFTP/FTPS 服務、App Service 應用程式和函式應用程式,而不是使用一般 FTP 服務。
注意:傳輸中加密的數據會針對在 Azure 資料中心之間移動的所有 Azure 流量啟用。 根據預設,大部分的 Azure 服務都會啟用 TLS v1.2 或更新版本。 而某些服務,例如 Azure 記憶體和 應用程式閘道 可以在伺服器端強制執行 TLS v1.2 或更新版本。
Azure 實作和其他內容:
AWS指引:在內建原生傳輸加密功能的 Amazon S3、RDS 和 CloudFront 等服務中強制執行安全傳輸。
針對伺服器端或用戶端上的工作負載 Web 應用程式和 (服務強制執行 HTTPS (,例如在 AWS Elastic Load Balancer) 中,或在兩者) 上強制執行 HTTPS (,方法是確保連線到 AWS 資源的任何用戶端都使用 TLS v1.2 或更新版本。
針對 EC2 實例的遠端管理,請使用適用於 Linux) 的 SSH (或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。 如需安全文件傳輸,請使用 AWS 傳輸 SFTP 或 FTPS 服務,而不是一般 FTP 服務。
注意:AWS 資料中心之間的所有網路流量都會在實體層以透明方式加密。 使用支援的 Amazon EC2 實例類型時,跨區域與對等互連 VPN 之間的所有流量都會在網路層以透明方式加密。 預設會在大部分 AWS 服務上啟用 TLS v1.2 或更新版本。 而 AWS Load Balancer 之類的某些服務可以在伺服器端強制執行 TLS v1.2 或更新版本。
AWS 實作和其他內容:
GCP指引:在Google雲端記憶體等服務中強制執行安全傳輸,其中內建了傳輸加密功能中的原生數據。
針對 Web 應用程式工作負載和服務強制執行 HTTPS,以確保任何連線到 GCP 資源的用戶端都會使用傳輸層安全性 (TLS) v1.2 或更新版本。
針對遠端管理,Google Cloud Compute Engine 使用適用於 Linux) 的 SSH (或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。 如需安全檔傳輸,請在Google Cloud Big Query 或 Cloud App Engine 等服務中使用 SFTP/FTPS 服務,而不是一般 FTP 服務。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-4:預設啟用待用資料加密
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4、3.5 |
安全性準則:為了補充訪問控制,待用數據應受到保護,以防止「頻外」攻擊 (,例如使用加密存取基礎記憶體) 。 這有助於確保攻擊者無法輕鬆地讀取或修改數據。
Azure 指引:許多 Azure 服務預設會在基礎結構層使用服務管理的密鑰啟用待用加密。 這些服務管理的金鑰會代表客戶產生,並每隔兩年自動輪替一次。
在技術上可行且未啟用的情況下,您可以在 Azure 服務或記憶體層級、檔案層級或資料庫層級的 VM 中啟用待用加密數據。
Azure 實作和其他內容:
AWS 指引:許多 AWS 服務預設會在基礎結構/平台層使用 AWS 管理的客戶主要密鑰啟用待用加密。 這些 AWS 管理的客戶主要密鑰會代表客戶產生,並每隔三年自動輪替一次。
在技術上可行且預設未啟用的情況下,您可以在 AWS 服務或記憶體層級、檔案層級或資料庫層級的 VM 中啟用待用加密數據。
AWS 實作和其他內容:
GCP指引:許多Google雲端產品和服務預設會在基礎結構層使用服務管理的金鑰啟用待用加密。 這些服務受控金鑰會代表客戶產生,並自動輪替。
在技術上可行且未啟用的情況下,您可以在 GCP 服務或記憶體層級、檔案層級或資料庫層級的 VM 中啟用待用加密數據。
注意:如需其他詳細數據,請參閱「Google 雲端服務的加密粒度」檔。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 3.11 | SC-12、SC-28 | 3.4, 3.5, 3.6 |
安全性準則:如果需要法規合規性,請定義需要客戶管理密鑰選項的使用案例和服務範圍。 使用服務中的客戶自控密鑰啟用和實作待用數據加密。
Azure 指引:Azure 也提供加密選項,使用由您自己管理的密鑰, (大部分服務的客戶自控密鑰) 。
Azure 金鑰保存庫 標準、進階和受控 HSM 與許多 Azure 服務原生整合,適用於客戶管理的密鑰使用案例。 您可以使用 Azure 金鑰保存庫 來產生金鑰或攜帶您自己的金鑰。
不過,使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
Azure 實作和其他內容:
AWS 指引:AWS 也提供加密選項,使用由您自己管理的密鑰, (儲存在 AWS 金鑰管理服務的客戶主要密鑰) 特定服務。
AWS 金鑰管理服務 (KMS) 與許多 AWS 服務原生整合,適用於客戶管理的客戶主要密鑰使用案例。 您可以使用 AWS 金鑰管理服務 (KMS) 來產生主要金鑰或攜帶您自己的金鑰。
不過,使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
AWS 實作和其他內容:
GCP 指引:Google Cloud 會使用您自己管理的密鑰來提供加密選項, (大部分服務的客戶自控密鑰) 。
Google Cloud Key Management Service (Cloud KMS) 原生與許多 GCP 服務整合,以進行客戶管理的加密密鑰。 您可以使用雲端 KMS 來建立及管理這些金鑰,並將金鑰儲存為軟體金鑰、HSM 叢集中或外部。 您可以使用雲端 KMS 來產生金鑰,或 (客戶提供的加密金鑰) 提供自己的金鑰。
不過,使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-6:使用安全金鑰管理程序
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-28 | 3.6 |
安全性準則:記錄並實作企業密碼編譯密鑰管理標準、程式和程式,以控制密鑰生命週期。 當需要在服務中使用客戶管理的金鑰時,請使用安全的金鑰保存庫服務來產生、散發和記憶體。 根據定義的排程輪替和撤銷密鑰,以及金鑰淘汰或入侵時。
Azure 指引:使用 Azure 金鑰保存庫 來建立和控制加密密鑰生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程,輪替和撤銷 Azure 中的金鑰 金鑰保存庫 和服務,以及金鑰淘汰或入侵的時間。 產生金鑰時,需要特定的密碼編譯類型和最小金鑰大小。
如果您需要在工作負載服務或應用程式中使用客戶管理的金鑰 (CMK) ,請確定您遵循最佳做法:
- 使用金鑰階層,透過金鑰保存庫中的金鑰加密金鑰 (KEK) , (DEK) 產生個別的數據加密金鑰。
- 請確定金鑰會向 Azure 金鑰保存庫 註冊,並透過每個服務或應用程式中的金鑰標識碼實作。
若要將密鑰材料存留期和可移植性最大化,請將您自己的密鑰 (BYOK) 帶入服務 (,也就是將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) 。 請遵循建議的指導方針來執行金鑰產生和金鑰傳輸。
注意:如需 Azure 金鑰保存庫 類型和 FIPS 合規性/驗證層級的 FIPS 140-2 層級,請參閱下列內容。
- 保存庫中軟體保護的密鑰 (進階 & 標準 SKU) :FIPS 140-2 層級 1
- 保存庫中受 HSM 保護的金鑰 (進階 SKU) :FIPS 140-2 層級 2
- 受管理 HSM 中的 HSM 保護密鑰:FIPS 140-2 層級 3
Azure 金鑰保存庫 Premium 會在後端使用共用 HSM 基礎結構。 當您需要較高層級的密鑰安全性時,Azure 金鑰保存庫 受控 HSM 會使用專用的機密服務端點搭配專用 HSM。
Azure 實作和其他內容:
AWS指引:使用 AWS 金鑰管理服務 (KMS) 來建立和控制加密密鑰生命週期,包括金鑰產生、散發和記憶體。 根據定義的排程,以及密鑰淘汰或入侵時,輪替和撤銷 KMS 中的金鑰和服務。
當您需要在工作負載服務或應用程式中使用客戶管理的客戶主要密鑰時,請確定您遵循最佳做法:
- 使用金鑰階層,在 KMS 中使用金鑰加密金鑰 (KEK) ,在 DEK (DEK (DEK) 產生個別的數據加密金鑰。
- 請確定金鑰已向 KMS 註冊,並透過每個服務或應用程式中的 IAM 原則實作。
若要將金鑰數據存留期和可移植性最大化,請將您自己的密鑰 (BYOK) 帶入服務 (,也就是將受 HSM 保護的金鑰從內部部署 HSM 匯入 KMS 或雲端 HSM) 。 請遵循建議的指導方針來執行金鑰產生和金鑰傳輸。
注意:AWS KMS 會在後端使用共用 HSM 基礎結構。 當您需要管理自己的金鑰存放區和專用 HSM 時,請使用 AWS KMS 自定義金鑰存放區 (,例如較高層級密鑰安全性) 的法規合規性需求,以產生及儲存加密密鑰。
注意:如需 AWS KMS 和 CloudHSM 中 FIPS 合規性層級的 FIPS 140-2 層級,請參閱下列內容:
- AWS KMS 預設值:已驗證 FIPS 140-2 層級 2
- 使用 CloudHSM 的 AWS KMS:已驗證特定) 服務的 FIPS 140-2 層級 3 (
- AWS CloudHSM:已驗證 FIPS 140-2 層級 3
注意:針對秘密管理 (認證、密碼、API 金鑰等 ) ,請使用 AWS 秘密管理員。
AWS 實作和其他內容:
GCP 指引:使用雲端密鑰管理服務 (雲端 KMS) ,在相容的 Google 雲端服務和工作負載應用程式中建立和管理加密金鑰生命週期。 根據定義的排程,以及當密鑰淘汰或入侵時,輪替和撤銷雲端 KMS 中的金鑰和服務。
使用 Google 的雲端 HSM 服務,將硬體支援的金鑰提供給雲端 KMS (金鑰管理服務) 它可讓您管理及使用自己的密碼編譯密鑰,同時受到完全受控硬體安全性模組 (HSM) 的保護。
雲端 HSM 服務使用 HSM,這是 FIPS 140-2 層級 3 驗證且一律以 FIPS 模式執行。 FIPS 140-2 層級 3 已驗證,且一律以 FIPS 模式執行。 FIPS 標準會指定 HSM 所使用的密碼編譯演算法和隨機數產生。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-7:使用安全的憑證管理程序
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-17 | 3.6 |
安全性準則:記錄並實作企業憑證管理標準、程序和程式,包括憑證生命週期控制,以及如果需要公鑰基礎結構, (憑證原則) 。
請確定組織中重要服務所使用的憑證會使用自動化機制來清查、追蹤、監視及更新,以避免服務中斷。
Azure 指引:使用 Azure 金鑰保存庫 建立和控制憑證生命週期,包括建立/匯入、輪替、撤銷、記憶體和憑證清除。 請確定憑證產生遵循定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等等。 根據定義的排程和支援的 Azure 服務,在 Azure 金鑰保存庫 中設定憑證的自動輪替,以及憑證到期時間。 如果前端應用程式中不支援自動輪替,請在 Azure 金鑰保存庫 中使用手動輪替。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,您可以在 Azure 金鑰保存庫 中建立公用簽署憑證。 下列證書頒發機構單位 (CA) 是目前與 Azure 金鑰保存庫 整合的合作夥伴提供者。
- DigiCert:Azure 金鑰保存庫 使用 DigiCert 提供 OV TLS/SSL 憑證。
- GlobalSign:Azure 金鑰保存庫 提供 OV TLS/SSL 憑證與 GlobalSign。
注意:僅使用已核准的 CA,並確定已停用這些 CA 所簽發的已知不良根/中繼憑證。
Azure 實作和其他內容:
- 開始使用 Key Vault 憑證 \(部分機器翻譯\)
- Azure 金鑰保存庫 中的憑證 存取控制
AWS指引:使用 AWS 憑證管理員 (ACM) 來建立和控制憑證生命週期,包括建立/匯入、輪替、撤銷、記憶體和憑證清除。 請確定憑證產生遵循定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等等。 根據定義的排程和支援的 AWS 服務,在 ACM 中設定憑證的自動輪替,以及憑證到期時間。 如果前端應用程式中不支援自動旋轉,請在 ACM 中使用手動輪替。 同時,您應該一律追蹤憑證更新狀態,以確保憑證有效性。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,在 ACM 中 (建立由 Amazon 證書頒發機構單位) 簽署的公開簽署憑證,並在 CloudFront、Load Balancers、API 閘道等服務中以程式設計方式部署。您也可以使用 ACM 來建立私人證書頒發機構單位, (CA) 簽署私人憑證。
注意:僅使用已核准的CA,並確保停用這些CA簽發的已知不良CA根/中繼憑證。
AWS 實作和其他內容:
GCP指引:使用 Google Cloud Certificate Manager 建立及控制憑證生命週期,包括建立/匯入、輪替、撤銷、記憶體和清除憑證。 請確定憑證產生遵循定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等等。 根據定義的排程和憑證到期時間,在憑證管理員中設定憑證的自動輪替和支援的 GCP 服務。 如果前端應用程式中不支援自動輪替,請在憑證管理員中使用手動輪替。 同時,您應該一律追蹤憑證更新狀態,以確保憑證有效性。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,您可以在憑證管理員中建立已簽署的公用憑證,並以程序設計方式在 Load Balancer 和雲端 DNS 等服務中部署。您也可以使用證書頒發機構單位服務建立私人證書頒發機構單位 (CA) 來簽署私人憑證。
注意:您也可以使用Google Cloud Secret Manager 來儲存 TLS 憑證。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-8:確保金鑰和憑證存放庫的安全性
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-17 | 3.6 |
安全性準則:確保用於密碼編譯密鑰和憑證生命週期管理的密鑰保存庫服務安全性。 透過訪問控制、網路安全性、記錄和監視和備份來強化密鑰保存庫服務,以確保密鑰和憑證一律使用最高安全性受到保護。
Azure 指引:透過下列控件強化 Azure 金鑰保存庫 服務,保護您的密碼編譯密鑰和憑證:
- 在密鑰層級使用 Azure 金鑰保存庫 受控 HSM 中的 RBAC 原則實作訪問控制,以確保遵循最低許可權和職責區分原則。 例如,請確定管理加密密鑰的使用者有職責區隔,讓他們無法存取加密的數據,反之亦然。 針對 Azure 金鑰保存庫 標準和進階版,為不同的應用程式建立唯一的保存庫,以確保遵循最低許可權和職責區分原則。
- 開啟 Azure 金鑰保存庫 記錄,以確保記錄重要的管理平面和數據平面活動。
- 使用 Private Link 和 Azure 防火牆 保護 Azure 金鑰保存庫,以確保服務暴露程度最低
- 使用受控識別來存取工作負載應用程式中儲存在 Azure 金鑰保存庫 中的密鑰。
- 清除資料時,請確定您的金鑰不會在實際數據、備份和封存清除之前刪除。
- 使用 Azure 金鑰保存庫 備份金鑰和憑證。 啟用虛刪除和清除保護,以避免意外刪除金鑰。需要刪除金鑰時,請考慮停用金鑰,而不是刪除金鑰,以避免意外刪除金鑰和密碼編譯清除數據。
- 若要將您自己的金鑰 (BYOK) 使用案例,請在內部部署 HSM 中產生金鑰,並加以匯入,以最大化密鑰的存留期和可移植性。
- 絕對不要以純文本格式儲存在 Azure 金鑰保存庫 外部的密鑰。 預設無法匯出所有金鑰保存庫服務中的金鑰。
- 在 Azure 金鑰保存庫 Premium 和 Azure 受控 HSM 中使用 HSM 支援的密鑰類型 (RSA-HSM) ,以取得硬體保護和最強的 FIPS 層級。
啟用適用於 Key Vault 的 Microsoft Defender,以取得提供了額外安全性情報層級之 Azure Key Vault Azure 原生的進階威脅保護。
Azure 實作和其他內容:
AWS 指引:針對密碼編譯密鑰安全性,請透過下列控件強化 AWS 金鑰管理服務 (KMS) 服務來保護密鑰:
- 使用密鑰原則實作訪問控制 (金鑰層級訪問控制) 搭配 IAM 原則 (身分識別型存取控制) ,以確保遵循最低許可權和職責區分原則。 例如,請確定管理加密密鑰的使用者有職責區隔,讓他們無法存取加密的數據,反之亦然。
- 使用 CloudTrails 之類的偵測控件來記錄和追蹤 KMS 中的金鑰使用方式,並針對重要動作發出警示。
- 絕對不要以純文字格式儲存 KMS 以外的金鑰。
- 需要刪除金鑰時,請考慮在 KMS 中停用金鑰,而不是刪除密鑰,以避免意外刪除金鑰和密碼編譯清除資料。
- 清除資料時,請確定您的金鑰不會在實際數據、備份和封存清除之前刪除。
- 若要將您自己的金鑰 (BYOK) 使用案例,請在內部部署 HSM 中產生金鑰並匯入金鑰,以最大化密鑰的存留期和可移植性。
針對憑證安全性,請透過下列控件強化 AWS 憑證管理員 (ACM) 服務來保護憑證:
- 使用資源層級原則搭配 IAM 原則來實作訪問控制 (身分識別型訪問控制) ,以確保遵循最低許可權和職責區分原則。 例如,確保使用者帳戶有職責區隔:產生憑證的用戶帳戶會與只需要只讀存取憑證的用戶帳戶分開。
- 使用 CloudTrails 之類的偵測控件來記錄和追蹤 ACM 中憑證的使用方式,並警示您採取重大動作。
- 請遵循 KMS 安全性指引,保護您的私鑰 (針對用於服務憑證整合的憑證要求) 產生。
AWS 實作和其他內容:
GCP 指引:針對密碼編譯密鑰安全性,請透過下列控件強化密鑰管理服務來保護密鑰:
- 使用 IAM 角色實作訪問控制,以確保遵循最低許可權和職責區分原則。 例如,請確定管理加密密鑰的使用者有職責區隔,讓他們無法存取加密的數據,反之亦然。
- 針對每個專案建立個別的密鑰環,可讓您在最低許可權最佳做法下輕鬆管理及控制密鑰的存取權。 它也可讓您更輕鬆地稽核何時可存取哪些密鑰的人員。
- 啟用金鑰的自動輪替,以確保金鑰會定期更新和重新整理。 這有助於防範潛在的安全性威脅,例如暴力密碼破解攻擊或嘗試取得敏感性資訊的惡意執行者。
- 設定稽核記錄接收,以追蹤您在 GCP KMS 環境中發生的所有活動。
針對憑證安全性,請透過下列控件強化 GCP 憑證管理員和證書頒發機構單位服務,保護您的憑證:
- 使用資源層級原則搭配 IAM 原則來實作訪問控制 (身分識別型訪問控制) ,以確保遵循最低許可權和職責區分原則。 例如,確保使用者帳戶有職責區隔:產生憑證的用戶帳戶會與只需要只讀存取憑證的用戶帳戶分開。
- 使用雲端稽核記錄之類的偵測控件來記錄和追蹤憑證管理員中的憑證使用量,並警示您採取重大動作。
- 秘密管理員也支援 TLS 憑證的記憶體。 您必須遵循類似的安全性做法,才能在秘密管理員中實作安全性控件。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :