Řízení zabezpečení: Ochrana dat

  • Článek

Ochrana dat zahrnuje kontrolu nad ochranou neaktivních uložených dat, při přenosu a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a správy certifikátů.|

DP-1: Zjišťování, klasifikace a označování citlivých dat

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Princip zabezpečení: Vytvořte a udržujte inventář citlivých dat na základě definovaného rozsahu citlivých dat. Pomocí nástrojů můžete zjišťovat, klasifikovat a označovat citlivá data v oboru.

Pokyny pro Azure: Pomocí nástrojů, jako je Microsoft Purview, který kombinuje dřívější řešení pro dodržování předpisů Azure Purview a Microsoft 365, a Azure SQL zjišťování a klasifikaci dat můžete centrálně prohledávat, klasifikovat a označovat citlivá data, která se nacházejí v Azure, místním prostředí, Microsoftu 365 a dalších umístěních.

Implementace Azure a další kontext:

Pokyny pro AWS: Replikujte data z různých zdrojů do kontejneru úložiště S3 a pomocí AWS Macie prohledávejte, klasifikujte a označujte citlivá data uložená v kontejneru. AWS Macie dokáže na základě vlastních pravidel identifikátorů dat detekovat citlivá data, jako jsou přihlašovací údaje zabezpečení, finanční informace, údaje o phi a pii nebo jiný datový vzor.

Konektor azure Purview pro kontrolu více cloudů můžete použít také ke kontrole, klasifikaci a označování citlivých dat umístěných v kontejneru úložiště S3.

Poznámka: Pro účely klasifikace a označování zjišťování dat můžete také použít podniková řešení třetích stran z AWS Marketplace.

Implementace AWS a další kontext:

Pokyny ke GCP: Pomocí nástrojů, jako je Google Cloud Data Loss Prevention, můžete centrálně kontrolovat, klasifikovat a označovat citlivá data, která se nacházejí v GCP a v místním prostředí.

Kromě toho můžete využít výsledky kontroly ochrany před únikem informací (DLP) k identifikaci citlivých dat pomocí definovaných šablon značek pomocí google cloudových Data Catalog.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-2: Monitorování anomálií a hrozeb cílených na citlivá data

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.13 AC-4, SI-4 A3.2

Princip zabezpečení: Monitorujte anomálie týkající se citlivých dat, jako je například neoprávněný přenos dat do umístění mimo podnikovou viditelnost a kontrolu. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.

Pokyny k Azure: Pomocí služby Azure Information Protection (AIP) monitorujte klasifikovaná a označená data.

K upozorňování na neobvyklý přenos informací, které můžou znamenat neoprávněný přenos citlivých dat, použijte Microsoft Defender pro úložiště, Microsoft Defender pro SQL, Microsoft Defender pro opensourcové relační databáze a Microsoft Defender pro Cosmos DB. Informace.

Poznámka: Pokud to vyžaduje dodržování předpisů ochrany před únikem informací, můžete použít řešení ochrany před únikem informací založené na hostiteli z Azure Marketplace nebo řešení Microsoft 365 pro ochranu před únikem informací a vynutit detektivní nebo preventivní kontrolní mechanismy, které zabrání exfiltraci dat.

Implementace Azure a další kontext:

Pokyny pro AWS: Pomocí AWS Macie monitorujte klasifikovaná a označená data a pomocí GuardDuty detekujte neobvyklé aktivity u některých prostředků (prostředky S3, EC2 nebo Kubernetes nebo IAM). Zjištění a výstrahy je možné určit, analyzovat a sledovat pomocí EventBridge a předávat je službě Microsoft Sentinel nebo Centru zabezpečení za účelem agregace a sledování incidentů.

Účty AWS můžete také připojit ke službě Microsoft Defender for Cloud kvůli kontrolám dodržování předpisů, zabezpečení kontejnerů a možnostem zabezpečení koncových bodů.

Poznámka: Pokud to vyžaduje dodržování předpisů ochrany před únikem informací, můžete použít řešení ochrany před únikem informací založené na hostiteli z AWS Marketplace.

Implementace AWS a další kontext:

Pokyny ke GCP: Pomocí centra Google Cloud Security Command Center / Detekce hrozeb událostí / Detekce anomálií můžete upozorňovat na neobvyklý přenos informací, které by mohly naznačovat neoprávněné přenosy citlivých dat.

Účty GCP můžete také připojit k Microsoft Defender for Cloud kvůli kontrolám dodržování předpisů, zabezpečení kontejnerů a možnostem zabezpečení koncových bodů.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-3: Šifrování citlivých dat při přenosu

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Princip zabezpečení: Chraňte přenášená data před "mimo pásmo" útoků (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli snadno číst nebo upravovat data.

Nastavte hranici sítě a obor služby, kde je šifrování přenášených dat povinné uvnitř sítě i mimo síť. I když je to pro provoz v privátních sítích volitelné, je to důležité pro provoz v externích a veřejných sítích.

Pokyny k Azure: Vynucujte zabezpečený přenos ve službách, jako je Azure Storage, kde je integrovaná nativní funkce šifrování přenášených dat.

Vynucujte https pro úlohy a služby webových aplikací tím, že zajistíte, aby klienti připojující se k prostředkům Azure používali protokol TLS (Transport Layer Security) verze 1.2 nebo novější. Pro vzdálenou správu virtuálních počítačů použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows).

Pro vzdálenou správu virtuálních počítačů Azure použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Pro zabezpečený přenos souborů použijte službu SFTP/FTPS ve službě Azure Storage Blob, App Service aplikace a aplikace funkcí místo běžné služby FTP.

Poznámka: Šifrování přenášených dat je povolené pro veškerý provoz Azure přenášený mezi datacentry Azure. Ve většině služeb Azure je ve výchozím nastavení povolený protokol TLS verze 1.2 nebo novější. A některé služby, jako je Azure Storage a Application Gateway, můžou na straně serveru vynucovat protokol TLS verze 1.2 nebo novější.

Implementace Azure a další kontext:

Pokyny pro AWS: Vynucujte zabezpečený přenos ve službách, jako jsou Amazon S3, RDS a CloudFront, kde je integrovaná funkce nativního šifrování přenášených dat.

Vynucujte https (například v AWS Elastic Load Balancer) pro webové aplikace a služby úloh (na straně serveru nebo na straně klienta nebo na obou) tím, že zajistíte, aby klienti připojující se k prostředkům AWS používali protokol TLS v1.2 nebo novější.

Pro vzdálenou správu instancí EC2 použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Pro zabezpečený přenos souborů použijte místo běžné služby FTP službu AWS Transfer SFTP nebo FTPS.

Poznámka: Veškerý síťový provoz mezi datovými centry AWS je transparentně šifrovaný ve fyzické vrstvě. Při použití podporovaných typů instancí Amazon EC2 se veškerý provoz v rámci VPC a mezi partnerskými řadiči vpC napříč oblastmi transparentně šifruje na síťové vrstvě. Ve většině služeb AWS je ve výchozím nastavení povolený protokol TLS verze 1.2 nebo novější. A některé služby, jako je AWS Load Balancer, můžou na straně serveru vynucovat protokol TLS verze 1.2 nebo novější.

Implementace AWS a další kontext:

Pokyny GCP: Vynucujte zabezpečený přenos ve službách, jako je Google Cloud Storage, kde je integrovaná funkce nativního šifrování přenášených dat.

Vynucujte https pro úlohy a služby webových aplikací a zajistíte, aby klienti připojující se k prostředkům GCP používali protokol TLS (Transport Layer Security) verze 1.2 nebo novější.

Pro vzdálenou správu Google Cloud Compute Engine místo nešifrovaného protokolu použijte protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Pro zabezpečený přenos souborů použijte službu SFTP/FTPS ve službách, jako je Google Cloud Big Query nebo Cloud App Engine, místo běžné služby FTP.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.11 SC-28 3.4, 3.5

Princip zabezpečení: V rámci řízení přístupu by neaktivní uložená data měla být chráněná před útoky mimo pásmo (například přístup k základnímu úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli snadno číst ani upravovat data.

Pokyny pro Azure: Mnoho služeb Azure má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury pomocí klíče spravovaného službou. Tyto klíče spravované službou se generují jménem zákazníka a automaticky se obměňují každé dva roky.

Pokud je to technicky možné a ve výchozím nastavení není povolené, můžete povolit šifrování neaktivních uložených dat ve službách Azure nebo ve virtuálních počítačích na úrovni úložiště, na úrovni souborů nebo databáze.

Implementace Azure a další kontext:

Pokyny AWS: Mnoho služeb AWS má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury nebo platformy pomocí hlavního klíče zákazníka spravovaného AWS. Tyto hlavní klíče zákazníka spravované službou AWS se vygenerují jménem zákazníka a automaticky se obměňují každé tři roky.

Pokud je to technicky možné a ve výchozím nastavení není povolené, můžete povolit šifrování neaktivních uložených dat ve službách AWS nebo na virtuálních počítačích na úrovni úložiště, na úrovni souborů nebo databáze.

Implementace AWS a další kontext:

Pokyny pro GCP: Mnoho produktů a služeb Google Cloud má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury pomocí klíče spravovaného službou. Tyto klíče spravované službou se generují jménem zákazníka a automaticky se obměňují.

Pokud je to technicky možné a ve výchozím nastavení není povolené, můžete povolit šifrování neaktivních uložených dat ve službách GCP nebo ve virtuálních počítačích na úrovni úložiště, na úrovni souborů nebo databáze.

Poznámka: Další podrobnosti najdete v dokumentu "Členitost šifrování pro cloudové služby Google".

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :

DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Princip zabezpečení: V případě potřeby pro dodržování právních předpisů definujte případ použití a rozsah služby, kde je potřeba klíč spravovaný zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem ve službách.

Pokyny pro Azure: Azure také poskytuje možnost šifrování pomocí klíčů spravovaných sami (klíče spravované zákazníkem) pro většinu služeb.

Azure Key Vault Standard, Premium a Managed HSM jsou nativně integrované s mnoha službami Azure pro případy použití klíčů spravovaných zákazníkem. Azure Key Vault můžete použít k vygenerování klíče nebo k používání vlastních klíčů.

Použití možnosti klíče spravovaného zákazníkem však vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměně, odvolávání a řízení přístupu atd.

Implementace Azure a další kontext:

Pokyny pro AWS: AWS také poskytuje možnost šifrování pomocí klíčů, které spravujete sami (hlavní klíč zákazníka spravovaný zákazníkem uložený ve službě AWS Key Management Service) pro určité služby.

Služba AWS Key Management Service (KMS) je nativně integrovaná s mnoha službami AWS pro případy použití hlavního klíče zákazníka spravovaného zákazníkem. Můžete použít službu AWS Key Management Service (KMS) k vygenerování hlavních klíčů nebo si přineste vlastní klíče.

Použití možnosti klíče spravovaného zákazníkem však vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměně, odvolávání a řízení přístupu atd.

Implementace AWS a další kontext:

Pokyny pro GCP: Google Cloud poskytuje možnost šifrování pomocí klíčů spravovaných sami (klíče spravované zákazníkem) pro většinu služeb.

Služba správy klíčů Google Cloud (Cloud KMS) je nativně integrovaná s mnoha službami GCP pro šifrovací klíče spravované zákazníkem. Tyto klíče je možné vytvářet a spravovat pomocí Služby správy klíčů v cloudu a klíče ukládáte jako softwarové klíče, v clusteru HSM nebo externě. Službu správy klíčů v cloudu můžete použít k vygenerování klíče nebo k dodání vlastních klíčů (šifrovací klíče dodané zákazníkem).

Použití možnosti klíče spravovaného zákazníkem však vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměně, odvolávání a řízení přístupu atd.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :

DP-6: Použití zabezpečeného procesu správy klíčů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
IA-5, SC-12, SC-28 3,6

Princip zabezpečení: Dokumentujte a implementujte podnikový standard správy kryptografických klíčů, procesy a postupy pro řízení životního cyklu klíče. Pokud je potřeba ve službách používat klíč spravovaný zákazníkem, použijte pro generování, distribuci a ukládání klíčů službu zabezpečeného trezoru klíčů. Obměňujte a odvolávejte své klíče na základě definovaného plánu a v případě, že dojde k vyřazení nebo ohrožení zabezpečení klíče.

Pokyny k Azure: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměňujte a odvolávejte klíče v Azure Key Vault a vaší službě na základě definovaného plánu a v případě klíčového vyřazení nebo ohrožení zabezpečení. Při generování klíčů vyžadovat určitý kryptografický typ a minimální velikost klíče.

Pokud ve službách nebo aplikacích úloh potřebujete použít klíč spravovaný zákazníkem (CMK), ujistěte se, že postupujete podle osvědčených postupů:

  • Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) v trezoru klíčů.
  • Ujistěte se, že jsou klíče zaregistrované v Azure Key Vault a implementované prostřednictvím ID klíčů v každé službě nebo aplikaci.

Pokud chcete maximalizovat životnost a přenositelnost materiálu klíče, přineste do služeb vlastní klíč (BYOK) (tj. importujte klíče chráněné HSM z místních modulů HSM do Azure Key Vault). Při generování a přenosu klíčů postupujte podle doporučených pokynů.

Poznámka: Níže najdete informace o úrovni FIPS 140-2 pro typy Key Vault Azure a úroveň dodržování předpisů a ověřování STANDARDEM FIPS.

  • Klíče chráněné softwarem v trezorech (skladové položky Premium & Standard): FIPS 140-2 Level 1
  • Klíče v trezorech chráněné HSM (SKU Premium): FIPS 140-2 Level 2
  • Klíče chráněné HSM ve spravovaném HSM: FIPS 140-2 Level 3

Azure Key Vault Premium používá v back-endu sdílenou infrastrukturu HSM. Azure Key Vault Managed HSM používá vyhrazené důvěrné koncové body služby s vyhrazeným modulem HARDWAROVÉHO ZABEZPEČENÍ pro potřeby vyšší úrovně zabezpečení klíčů.

Implementace Azure a další kontext:

Pokyny pro AWS: Pomocí služby AWS Key Management Service (KMS) můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměňujte a odvolávejte své klíče ve Službě správy klíčů a ve vaší službě na základě definovaného plánu a v případě vyřazení nebo ohrožení zabezpečení klíče.

Pokud ve službách nebo aplikacích úloh potřebujete použít hlavní klíč zákazníka spravovaný zákazníkem, ujistěte se, že postupujete podle osvědčených postupů:

  • Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve službě Správy klíčů.
  • Ujistěte se, že jsou klíče zaregistrované ve Službě správy klíčů a implementujte je prostřednictvím zásad IAM v každé službě nebo aplikaci.

Pokud chcete maximalizovat životnost a přenositelnost materiálu klíče, přineste do služeb vlastní klíč (BYOK) (tj. importujte klíče chráněné HSM z místních modulů HSM do Služby správy klíčů nebo cloudového HSM). Při generování a přenosu klíčů postupujte podle doporučených pokynů.

Poznámka: AWS KmS používá v back-endu sdílenou infrastrukturu HSM. Pokud potřebujete spravovat vlastní úložiště klíčů a vyhrazené moduly HSM (např. požadavky na dodržování právních předpisů pro vyšší úroveň zabezpečení klíčů) ke generování a ukládání šifrovacích klíčů, použijte vlastní úložiště klíčů AWS KmS, které je podporováno službou AWS CloudHSM.

Poznámka: Níže najdete informace o úrovni FIPS 140-2 pro dodržování předpisů FIPS v AWS KMSM a CloudHSM:

  • Výchozí nastavení Služby správy klíčů AWS: Ověřeno fips 140-2 Level 2
  • AWS KMS s využitím CloudHSM: Ověřeno FIPS 140-2 Level 3 (pro určité služby)
  • AWS CloudHSM: Ověřeno fips 140-2 level 3

Poznámka: Ke správě tajných kódů (přihlašovací údaje, heslo, klíče rozhraní API atd.) použijte AWS Secrets Manager.

Implementace AWS a další kontext:

Pokyny ke GCP: Pomocí Služby správy cloudových klíčů (KMS) můžete vytvářet a spravovat životní cykly šifrovacích klíčů v kompatibilních službách Google Cloud a v aplikacích úloh. Obměna a odvolávání klíčů ve službě Cloud KmS a vaší službě na základě definovaného plánu a v případě klíčového vyřazení nebo ohrožení zabezpečení.

Použití služby Cloud HSM od Googlu k poskytování hardwarových klíčů cloudovým klíčům (Key Management Service) Umožňuje spravovat a používat vlastní kryptografické klíče a zároveň být chráněni plně spravovanými moduly hardwarového zabezpečení (HSM).

Cloudová služba HSM používá moduly HSM, které jsou ověřené standardem FIPS 140-2 Level 3 a vždy běží v režimu FIPS. Standard FIPS 140-2 úrovně 3 je ověřený a vždy běží v režimu FIPS. Standard FIPS určuje kryptografické algoritmy a náhodné generování čísel používané moduly HSM.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-7: Použití zabezpečeného procesu správy certifikátů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-17 3,6

Princip zabezpečení: Zdokumentujte a implementujte standard správy podnikových certifikátů, procesy a postupy, které zahrnují řízení životního cyklu certifikátů a zásady certifikátů (pokud je potřeba infrastruktura veřejných klíčů).

Ujistěte se, že certifikáty používané důležitými službami ve vaší organizaci jsou inventarizovány, sledovány, monitorovány a obnovovány pomocí automatizovaného mechanismu, aby se zabránilo přerušení služeb.

Pokyny Azure: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus certifikátu, včetně vytvoření/importu, obměně, odvolání, ukládání a vymazání certifikátu. Ujistěte se, že generování certifikátu odpovídá definovanému standardu bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu v Azure Key Vault a podporovaných službách Azure na základě definovaného plánu a data vypršení platnosti certifikátu. Pokud front-endová aplikace nepodporuje automatickou rotaci, použijte ruční rotaci v Azure Key Vault.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení zabezpečení. Místo toho můžete vytvořit veřejné podepsané certifikáty v Azure Key Vault. Následující certifikační autority (CA) jsou partneři poskytovatelé, kteří jsou v současné době integrovaní s Azure Key Vault.

  • DigiCert: Azure Key Vault nabízí certifikáty OV TLS/SSL s DigiCert.
  • GlobalSign: Azure Key Vault nabízí certifikáty OV TLS/SSL s GlobalSign.

Poznámka: Používejte pouze schválenou certifikační autoritu a zajistěte, aby známé chybné kořenové nebo zprostředkující certifikáty vydané těmito certifikačními autoritami byly zakázané.

Implementace Azure a další kontext:

Pokyny pro AWS: Pomocí AWS Certificate Manageru (ACM) můžete vytvořit a řídit životní cyklus certifikátu, včetně vytvoření/importu, obměně, odvolání, ukládání a vymazání certifikátu. Ujistěte se, že generování certifikátu odpovídá definovanému standardu bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu v ACM a podporovaných službách AWS na základě definovaného plánu a data vypršení platnosti certifikátu. Pokud front-endová aplikace nepodporuje automatické otáčení, použijte ruční otáčení v ACM. Mezitím byste měli vždy sledovat stav prodloužení platnosti certifikátu, abyste zajistili jeho platnost.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení zabezpečení. Místo toho vytvořte v ACM veřejně podepsané certifikáty (podepsané Amazon Certificate Authority) a nasaďte je programově do služeb, jako jsou CloudFront, Load Balancers, API Gateway atd. ACM můžete také použít k vytvoření privátní certifikační autority (CA) pro podepisování privátních certifikátů.

Poznámka: Používejte pouze schválenou certifikační autoritu a zajistěte, aby byly zakázané známé chybné kořenové nebo zprostředkující certifikáty certifikační autority vydané těmito certifikačními autoritami.

Implementace AWS a další kontext:

Pokyny ke GCP: Použijte Google Cloud Certificate Manager k vytvoření a řízení životního cyklu certifikátu, včetně vytvoření/importu, obměně, odvolání, ukládání a vymazání certifikátu. Ujistěte se, že generování certifikátu odpovídá definovanému standardu bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu ve Správci certifikátů a podporovaných službách GCP na základě definovaného plánu a data vypršení platnosti certifikátu. Pokud front-endová aplikace nepodporuje automatickou rotaci, použijte ve Správci certifikátů ruční obměnu. Mezitím byste měli vždy sledovat stav prodloužení platnosti certifikátu, abyste zajistili jeho platnost.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení zabezpečení. Místo toho můžete vytvořit podepsané veřejné certifikáty ve Správci certifikátů a nasadit je programově do služeb, jako jsou Load Balancer, Cloud DNS atd. Službu certifikační autority můžete také použít k vytvoření privátní certifikační autority (CA) pro podepisování privátních certifikátů.

Poznámka: K ukládání certifikátů TLS můžete použít také Google Cloud Secret Manager.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-8: Zajištění zabezpečení úložiště klíčů a certifikátů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
IA-5, SC-12, SC-17 3,6

Princip zabezpečení: Zajistěte zabezpečení služby trezoru klíčů používané pro správu kryptografického klíče a životního cyklu certifikátů. Využte zabezpečení služby trezoru klíčů prostřednictvím řízení přístupu, zabezpečení sítě, protokolování a monitorování a zálohování, abyste zajistili, že klíče a certifikáty budou vždy chráněné s využitím maximálního zabezpečení.

Pokyny pro Azure: Zabezpečení kryptografických klíčů a certifikátů posílením zabezpečení služby Azure Key Vault pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí zásad RBAC ve spravovaném modulu HSM Azure Key Vault na úrovni klíče, abyste zajistili dodržování nejnižších oprávnění a zásad oddělení povinností. Zajistěte například oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli přístup k šifrovaným datům a naopak. Pro Azure Key Vault Standard a Premium vytvořte jedinečné trezory pro různé aplikace, abyste zajistili dodržování nejnižších oprávnění a zásad oddělení povinností.
  • Zapněte protokolování Azure Key Vault, abyste zajistili, že se protokolují kritické aktivity roviny správy a roviny dat.
  • Zabezpečení Key Vault Azure pomocí Private Link a Azure Firewall pro zajištění minimálního vystavení služby
  • Pomocí spravované identity můžete přistupovat ke klíčům uloženým v Azure Key Vault v aplikacích úloh.
  • Při mazání dat se ujistěte, že se klíče neodstraní před vymazáním samotných dat, záloh a archivů.
  • Zálohujte klíče a certifikáty pomocí Azure Key Vault. Povolte ochranu proti obnovitelnému odstranění a vymazání, abyste se vyhnuli náhodnému odstranění klíčů. Pokud je potřeba klíče odstranit, zvažte zakázání klíčů místo jejich odstranění, abyste zabránili náhodnému odstranění klíčů a kryptografickému vymazání dat.
  • V případě použití přineste si vlastní klíč (BYOK) vygenerujte klíče v místním modulu HSM a importujte je, abyste maximalizovali životnost a přenositelnost klíčů.
  • Nikdy neukládejte klíče ve formátu prostého textu mimo azure Key Vault. Klíče ve všech službách trezoru klíčů se ve výchozím nastavení nedají exportovat.
  • Použití typů klíčů založených na HSM (RSA-HSM) v Azure Key Vault Premium a Azure Managed HSM pro ochranu hardwaru a nejsilnější úrovně FIPS.

Microsoft Defender for Key Vault povolte, pokud chcete pro Azure Key Vault získat rozšířenou ochranu před internetovými útoky nativní pro Azure, která poskytuje další vrstvu bezpečnostní analýzy.

Implementace Azure a další kontext:

Pokyny pro AWS: Zabezpečení kryptografických klíčů zajišťuje zabezpečení klíčů posílením zabezpečení služby AWS Key Management Service (KMS) pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí klíčových zásad (řízení přístupu na úrovni klíčů) ve spojení se zásadami IAM (řízení přístupu na základě identity), abyste zajistili dodržování nejnižších zásad oprávnění a oddělení povinností. Zajistěte například oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli přístup k šifrovaným datům a naopak.
  • Pomocí detektivních ovládacích prvků, jako je CloudTrails, můžete protokolovat a sledovat použití klíčů v KmS a upozorňovat na důležité akce.
  • Nikdy neukládejte klíče ve formátu prostého textu mimo Službu správy klíčů.
  • Pokud je potřeba klíče odstranit, zvažte zakázání klíčů ve službě Správy klíčů místo jejich odstranění, abyste zabránili náhodnému odstranění klíčů a kryptografickému vymazání dat.
  • Při mazání dat se ujistěte, že se klíče neodstraní před vymazáním samotných dat, záloh a archivů.
  • V případě použití přineste si vlastní klíč (BYOK) vygenerujte klíče v místním modulu HSM a importujte je, abyste maximalizovali životnost a přenositelnost klíčů.

V případě zabezpečení certifikátů zabezpečte certifikáty posílením zabezpečení služby AWS Certificate Manager (ACM) pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí zásad na úrovni prostředků ve spojení se zásadami IAM (řízení přístupu na základě identity), abyste zajistili dodržování nejnižších zásad oprávnění a oddělení povinností. Například zajistěte, aby pro uživatelské účty bylo zavedeno oddělení povinností: uživatelské účty, které generují certifikáty, jsou oddělené od uživatelských účtů, které vyžadují přístup k certifikátům jen pro čtení.
  • Pomocí detektivních ovládacích prvků, jako je CloudTrails, můžete protokolovat a sledovat využití certifikátů v ACM a upozorňovat na důležité akce.
  • Postupujte podle pokynů k zabezpečení Služby správy klíčů a zabezpečte privátní klíč (vygenerovaný pro žádost o certifikát) používaný pro integraci certifikátů služby.

Implementace AWS a další kontext:

Pokyny pro GCP: Zabezpečení kryptografických klíčů zajišťuje zabezpečení klíčů posílením zabezpečení služby správa klíčů pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí rolí IAM, abyste zajistili dodržování nejnižších oprávnění a zásad oddělení povinností. Zajistěte například oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli přístup k šifrovaným datům a naopak.
  • Vytvořte samostatný okruh klíčů pro každý projekt, který vám umožní snadno spravovat a řídit přístup ke klíčům podle osvědčených postupů s nejnižšími oprávněními. Umožňuje také snadněji auditovat, kdo má přístup ke kterým klíčům v kdy.
  • Povolte automatickou obměnu klíčů, abyste zajistili, že se klíče pravidelně aktualizují a aktualizují. To pomáhá chránit před potenciálními bezpečnostními hrozbami, jako jsou útoky hrubou silou nebo zlými úmysly, kteří se pokoušejí získat přístup k citlivým informacím.
  • Nastavte jímku protokolu auditu, která bude sledovat všechny aktivity, ke kterým dochází v prostředí GCP KMS.

V případě zabezpečení certifikátů zabezpečte certifikáty posílením zabezpečení správce certifikátů GCP a služby certifikační autority pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí zásad na úrovni prostředků ve spojení se zásadami IAM (řízení přístupu na základě identity), abyste zajistili dodržování nejnižších zásad oprávnění a oddělení povinností. Například zajistěte, aby pro uživatelské účty bylo zavedeno oddělení povinností: uživatelské účty, které generují certifikáty, jsou oddělené od uživatelských účtů, které vyžadují přístup k certifikátům jen pro čtení.
  • Pomocí detektivních ovládacích prvků, jako jsou protokoly auditu cloudu, můžete protokolovat a sledovat využití certifikátů ve Správci certifikátů a upozorňovat na důležité akce.
  • Secret Manager také podporuje ukládání certifikátu TLS. Při implementaci bezpečnostních prvků ve Správci tajných klíčů je potřeba postupovat podle podobných postupů zabezpečení.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :