Säkerhetskontroll: Dataskydd
Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckelhantering och certifikathantering.|
DP-1: Identifiera, klassificera och märka känsliga data
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Säkerhetsprincip: Upprätta och underhålla en inventering av känsliga data baserat på det definierade omfånget för känsliga data. Använd verktyg för att identifiera, klassificera och märka känsliga data i omfånget.
Azure-vägledning: Använd verktyg som Microsoft Purview, som kombinerar de tidigare Efterlevnadslösningarna för Azure Purview och Microsoft 365, och Azure SQL dataidentifiering och -klassificering för att centralt genomsöka, klassificera och märka känsliga data som finns i Azure, lokalt, Microsoft 365 och andra platser.
Azure-implementering och ytterligare kontext:
- Översikt över dataklassificering
- Etikettering i Datamappning i Microsoft Purview
- Tagga känslig information med Azure Information Protection
- Så här implementerar du identifiering av Azure SQL-data
- Azure Purview-datakällor
AWS-vägledning: Replikera dina data från olika källor till en S3-lagringsbucket och använd AWS Macie för att skanna, klassificera och märka känsliga data som lagras i bucketen. AWS Macie kan identifiera känsliga data, till exempel säkerhetsautentiseringsuppgifter, finansiell information, PHI- och PII-data eller andra datamönster baserat på reglerna för anpassade dataidentifierare.
Du kan också använda Azure Purview-anslutningsprogrammet för genomsökning i flera moln för att genomsöka, klassificera och märka känsliga data som finns i en S3-lagringsbucket.
Obs! Du kan också använda företagslösningar från tredje part från AWS Marketplace för klassificering och etikettering av dataidentifiering.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd verktyg som Google Cloud Data Loss Prevention för att centralt genomsöka, klassificera och märka känsliga data som finns i GCP och lokala miljöer.
Använd dessutom Google Cloud Data Catalog för att använda resultatet av en DLP-genomsökning (Cloud Data Loss Prevention) för att identifiera känsliga data med definierade taggmallar.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DP-2: Övervaka avvikelser och hot mot känsliga data
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Säkerhetsprincip: Övervaka avvikelser kring känsliga data, till exempel obehörig överföring av data till platser utanför företagets synlighet och kontroll. Detta omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.
Azure-vägledning: Använd Azure Information Protection (AIP) för att övervaka de data som har klassificerats och märkts.
Använd Microsoft Defender för Storage, Microsoft Defender för SQL, Microsoft Defender för relationsdatabaser med öppen källkod och Microsoft Defender för Cosmos DB för att varna om avvikande överföring av information som kan tyda på obehörig överföring av känsliga data Information.
Obs! Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en värdbaserad DLP-lösning från Azure Marketplace eller en Microsoft 365 DLP-lösning för att framtvinga detektiv- och/eller förebyggande kontroller för att förhindra dataexfiltrering.
Azure-implementering och ytterligare kontext:
- Aktivera Azure Defender för SQL
- Aktivera Azure Defender för Storage
- Aktivera Microsoft Defender för Azure Cosmos DB
- Aktivera Microsoft Defender för relationsdatabaser med öppen källkod och svara på aviseringar
AWS-vägledning: Använd AWS Macie för att övervaka data som har klassificerats och märkts, och använd GuardDuty för att identifiera avvikande aktiviteter på vissa resurser (S3, EC2, Kubernetes eller IAM-resurser). Resultat och aviseringar kan sorteras, analyseras och spåras med EventBridge och vidarebefordras till Microsoft Sentinel eller Security Hub för incidentaggregering och spårning.
Du kan också ansluta dina AWS-konton till Microsoft Defender för molnet för efterlevnadskontroller, containersäkerhet och slutpunktssäkerhetsfunktioner.
Obs! Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en värdbaserad DLP-lösning från AWS Marketplace.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud Security Command Center/Event Threat Detection/Anomaly Detection för att varna om avvikande överföring av information som kan tyda på obehörig överföring av känslig datainformation.
Du kan också ansluta dina GCP-konton till Microsoft Defender för molnet för efterlevnadskontroller, containersäkerhet och slutpunktssäkerhetsfunktioner.
GCP-implementering och ytterligare kontext:
- Översikt över identifiering av händelsehot
- Avvikelseidentifiering med strömningsanalys & AI
- Avvikelseidentifiering
Intressenter för kundsäkerhet (Läs mer):
DP-3: Kryptera känsliga data under överföring
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Säkerhetsprincip: Skydda data under överföring mot out-of-band-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.
Ange nätverksgränsen och tjänstomfånget där data under överföringskryptering är obligatoriska i och utanför nätverket. Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk.
Azure-vägledning: Framtvinga säker överföring i tjänster som Azure Storage, där inbyggda data i överföringskrypteringsfunktionen är inbyggd.
Framtvinga HTTPS för arbetsbelastningar och tjänster för webbprogram genom att se till att alla klienter som ansluter till dina Azure-resurser använder TLS (Transport Layer Security) v1.2 eller senare. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
För fjärrhantering av virtuella Azure-datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du SFTP/FTPS-tjänsten i Azure Storage Blob, App Service-appar och funktionsappar i stället för att använda den vanliga FTP-tjänsten.
Obs! Data under överföringskryptering är aktiverat för all Azure-trafik som färdas mellan Azure-datacenter. TLS v1.2 eller senare är aktiverat på de flesta Azure-tjänster som standard. Och vissa tjänster som Azure Storage och Application Gateway kan framtvinga TLS v1.2 eller senare på serversidan.
Azure-implementering och ytterligare kontext:
- Dubbel kryptering för Azure-data under överföring
- Förstå kryptering under överföring med Azure
- Information om TLS-säkerhet
- Framtvinga säker överföring i Azure Storage
AWS-vägledning: Framtvinga säker överföring i tjänster som Amazon S3, RDS och CloudFront, där en inbyggd datakrypteringsfunktion är inbyggd.
Framtvinga HTTPS (till exempel i AWS Elastic Load Balancer) för webbprogram och tjänster för arbetsbelastningar (antingen på serversidan eller på klientsidan eller på båda) genom att se till att alla klienter som ansluter till dina AWS-resurser använder TLS v1.2 eller senare.
För fjärrhantering av EC2-instanser använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du AWS Transfer SFTP eller FTPS-tjänsten i stället för en vanlig FTP-tjänst.
Obs! All nätverkstrafik mellan AWS-datacenter krypteras transparent på det fysiska lagret. All trafik inom en VPC och mellan peer-kopplade VIRTUELLA datorer mellan regioner krypteras transparent i nätverkslagret när du använder amazon EC2-instanstyper som stöds. TLS v1.2 eller senare är aktiverat på de flesta AWS-tjänster som standard. Och vissa tjänster som AWS Load Balancer kan framtvinga TLS v1.2 eller senare på serversidan.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Framtvinga säker överföring i tjänster som Google Cloud Storage, där en inbyggd datakrypteringsfunktion är inbyggd.
Framtvinga HTTPS för arbetsbelastningar och tjänster för webbprogram som säkerställer att alla klienter som ansluter till dina GCP-resurser använder TLS (Transport Layer Security) v1.2 eller senare.
För fjärrhantering använder Google Cloud Compute Engine SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du SFTP/FTPS-tjänsten i tjänster som Google Cloud Big Query eller Cloud App Engine i stället för en vanlig FTP-tjänst.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DP-4: Aktivera vilande datakryptering som standard
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Säkerhetsprincip: För att komplettera åtkomstkontroller bör vilande data skyddas mot out-of-band-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.
Azure-vägledning: Många Azure-tjänster har kryptering av vilande data aktiverat som standard på infrastrukturlagret med hjälp av en tjänsthanterad nyckel. Dessa tjänsthanterade nycklar genereras för kundens räkning och roteras automatiskt vartannat år.
Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera kryptering av vilande data i Azure-tjänsterna eller på dina virtuella datorer på lagringsnivå, filnivå eller databasnivå.
Azure-implementering och ytterligare kontext:
- Förstå kryptering vid vila i Azure
- Dubbel kryptering av vilande data i Azure
- Krypteringsmodell och nyckelhanteringstabell
AWS-vägledning: Många AWS-tjänster har kryptering av vilande data aktiverat som standard på infrastruktur-/plattformslagret med hjälp av en AWS-hanterad kundhuvudnyckel. Dessa AWS-hanterade kundhuvudnycklar genereras för kundens räkning och roteras automatiskt vart tredje år.
Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera kryptering av vilande data i AWS-tjänsterna eller på dina virtuella datorer på lagringsnivå, filnivå eller databasnivå.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Många Produkter och tjänster i Google Cloud har kryptering av vilande data aktiverat som standard på infrastrukturlagret med hjälp av en tjänsthanterad nyckel. Dessa tjänsthanterade nycklar genereras för kundens räkning och roteras automatiskt.
Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera kryptering av vilande data i GCP-tjänsterna eller på dina virtuella datorer på lagringsnivå, filnivå eller databasnivå.
Obs! Mer information finns i dokumentet "Granularity of encryption for Google Cloud services".
GCP-implementering och ytterligare kontext:
- Standardkryptering i vila
- Alternativ för datakryptering
- Kornighet för kryptering för Google Cloud-tjänster
Intressenter för kundsäkerhet (Läs mer):
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Säkerhetsprincip: Om det krävs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där alternativet för kundhanterad nyckel behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterade nycklar i tjänster.
Azure-vägledning: Azure tillhandahåller även ett krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterade nycklar) för de flesta tjänster.
Azure Key Vault Standard, Premium och Managed HSM är internt integrerade med många Azure-tjänster för kundhanterade nyckelanvändningsfall. Du kan använda Azure Key Vault för att generera din nyckel eller ta med dina egna nycklar.
Men att använda alternativet kundhanterad nyckel kräver ytterligare driftsinsats för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.
Azure-implementering och ytterligare kontext:
- Krypteringsmodell och nyckelhanteringstabell
- Tjänster som stöder kryptering med kundhanterad nyckel
- Så här konfigurerar du kundhanterade krypteringsnycklar i Azure Storage
AWS-vägledning: AWS tillhandahåller också ett krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterad kundhuvudnyckel som lagras i AWS-nyckelhanteringstjänsten) för vissa tjänster.
AWS Key Management Service (KMS) är inbyggt integrerad med många AWS-tjänster för kundhanterade kundhanterade nyckelanvändningsfall. Du kan antingen använda AWS Key Management Service (KMS) för att generera dina huvudnycklar eller ta med dina egna nycklar.
Men att använda alternativet kundhanterad nyckel kräver ytterligare operativa åtgärder för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Google Cloud tillhandahåller ett krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterade nycklar) för de flesta tjänster.
Google Cloud Key Management Service (Cloud KMS) är internt integrerad med många GCP-tjänster för kundhanterade krypteringsnycklar. Dessa nycklar kan skapas och hanteras med hjälp av Cloud KMS, och du lagrar nycklarna som programvarunycklar, i ett HSM-kluster eller externt. Du kan använda Cloud KMS för att generera din nyckel eller ange egna nycklar (krypteringsnycklar från kunden).
Men att använda alternativet kundhanterad nyckel kräver ytterligare operativa åtgärder för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.
GCP-implementering och ytterligare kontext:
- Standardkryptering i vila
- Alternativ för datakryptering
- Kundhanterade krypteringsnycklar
- Krypteringsnyckel från kunden
Intressenter för kundsäkerhet (Läs mer):
DP-6: Använd en säker nyckelhanteringsprocess
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IA-5, SC-12, SC-28 | 3,6 |
Säkerhetsprincip: Dokumentera och implementera en standard, processer och procedurer för hantering av kryptografiska nycklar för företag för att kontrollera din nyckellivscykel. När du behöver använda kundhanterad nyckel i tjänsterna använder du en säker nyckelvalvstjänst för nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.
Azure-vägledning: Använd Azure Key Vault för att skapa och styra livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss. Kräv en viss kryptografisk typ och minsta nyckelstorlek när nycklar genereras.
När det finns ett behov av att använda kundhanterad nyckel (CMK) i arbetsbelastningstjänster eller program bör du följa metodtipsen:
- Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet.
- Se till att nycklarna registreras med Azure Key Vault och implementeras via nyckel-ID:t i varje tjänst eller program.
För att maximera livslängden och portabiliteten för nyckelmaterial tar du med din egen nyckel (BYOK) till tjänsterna (dvs. importeraR HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault). Följ den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.
Obs! Se nedan för FIPS 140-2-nivån för Azure Key Vault typer och FIPS-efterlevnad/valideringsnivå.
- Programvaruskyddade nycklar i valv (Premium & Standard-SKU:er): FIPS 140-2 Nivå 1
- HSM-skyddade nycklar i valv (Premium SKU): FIPS 140-2 Nivå 2
- HSM-skyddade nycklar i Managed HSM: FIPS 140-2 Nivå 3
Azure Key Vault Premium använder en delad HSM-infrastruktur i serverdelen. Azure Key Vault Managed HSM använder dedikerade, konfidentiella tjänstslutpunkter med en dedikerad HSM för när du behöver en högre nivå av nyckelsäkerhet.
Azure-implementering och ytterligare kontext:
- Översikt över Azure Key Vault
- Azure-datakryptering i vilonyckelhierarki
- BYOK-specifikation (Bring Your Own Key)
AWS-vägledning: Använd AWS Key Management Service (KMS) för att skapa och kontrollera livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i KMS och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.
När det finns ett behov av att använda kundhanterad kundhuvudnyckel i arbetsbelastningstjänster eller program, se till att du följer bästa praxis:
- Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i KMS.
- Kontrollera att nycklarna är registrerade med KMS och implementera via IAM-principer i varje tjänst eller program.
För att maximera livslängden och portabiliteten för nyckelmaterial tar du med din egen nyckel (BYOK) till tjänsterna (dvs. importeraR HSM-skyddade nycklar från dina lokala HSM:er till KMS eller Cloud HSM). Följ den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.
Obs! AWS KMS använder delad HSM-infrastruktur i serverdelen. Använd AWS KMS Custom Key Store som backas upp av AWS CloudHSM när du behöver hantera ditt eget nyckelarkiv och dedikerade HSM:er (t.ex. krav på regelefterlevnad för högre nivå av nyckelsäkerhet) för att generera och lagra dina krypteringsnycklar.
Obs! Se nedan för FIPS 140-2-nivån för FIPS-efterlevnadsnivå i AWS KMS och CloudHSM:
- Standardinställning för AWS KMS: FIPS 140-2 Nivå 2 verifierad
- AWS KMS med CloudHSM: FIPS 140-2 Nivå 3 (för vissa tjänster) verifierad
- AWS CloudHSM: FIPS 140-2 Nivå 3 verifierad
Obs! För hantering av hemligheter (autentiseringsuppgifter, lösenord, API-nycklar osv.) använder du AWS Secrets Manager.
AWS-implementering och ytterligare kontext:
- AWS-hanterade och kundhanterade CMK:er
- Importera nyckelmaterial i AWS KMS-nycklar
- Säker överföring av nycklar till CloudHSM
- Skapa ett anpassat nyckelarkiv som backas upp av CloudHSM
GCP-vägledning: Använd Cloud Key Management Service (Cloud KMS) för att skapa och hantera krypteringsnyckellivscykler i kompatibla Google Cloud-tjänster och i dina arbetsbelastningsprogram. Rotera och återkalla dina nycklar i Cloud KMS och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.
Använd Googles Cloud HSM-tjänst för att tillhandahålla maskinvarubaserade nycklar till Cloud KMS (Key Management Service) Det ger dig möjlighet att hantera och använda dina egna kryptografiska nycklar samtidigt som du skyddas av fullständigt hanterade maskinvarusäkerhetsmoduler (HSM).
Cloud HSM-tjänsten använder HSM:er, som är FIPS 140-2 Nivå 3-verifierade och alltid körs i FIPS-läge. FIPS 140-2 Nivå 3-verifierad och körs alltid i FIPS-läge. FIPS-standarden anger de kryptografiska algoritmer och slumptalsgenerering som används av HSM:erna.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
DP-7: Använd en säker certifikathanteringsprocess
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IA-5, SC-12, SC-17 | 3,6 |
Säkerhetsprincip: Dokumentera och implementera en standard för företagscertifikathantering, processer och procedurer som omfattar livscykelkontroll för certifikat och certifikatprinciper (om en infrastruktur för offentlig nyckel behövs).
Se till att certifikat som används av de kritiska tjänsterna i din organisation inventeras, spåras, övervakas och förnyas i tid med hjälp av automatiserad mekanism för att undvika avbrott i tjänsten.
Azure-vägledning: Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och azure-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du en manuell rotation i Azure Key Vault.
Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa offentliga signerade certifikat i Azure Key Vault. Följande certifikatutfärdare är de partnerleverantörer som för närvarande är integrerade med Azure Key Vault.
- DigiCert: Azure Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
- GlobalSign: Azure Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.
Obs! Använd endast godkänd certifikatutfärdare och se till att kända felaktiga rot-/mellanliggande certifikat som utfärdats av dessa certifikatutfärdare är inaktiverade.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS Certificate Manager (ACM) för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i ACM och AWS-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du manuell rotation i ACM. Under tiden bör du alltid spåra certifikatförnyelsestatusen för att säkerställa certifikatets giltighet.
Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. Skapa i stället offentligt signerade certifikat (signerade av Amazon Certificate Authority) i ACM och distribuera dem programmatiskt i tjänster som CloudFront, Load Balancers, API Gateway osv. Du kan också använda ACM för att upprätta din privata certifikatutfärdare (CA) för att signera de privata certifikaten.
Obs! Använd endast en godkänd certifikatutfärdare och se till att kända felaktiga CA-rot-/mellanliggande certifikat som utfärdats av dessa certifikatutfärdare är inaktiverade.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud Certificate Manager för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Certifikathanteraren och GCP-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du manuell rotation i Certifikathanteraren. Under tiden bör du alltid spåra certifikatförnyelsestatusen för att säkerställa certifikatets giltighet.
Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa signerade offentliga certifikat i Certificate Manager och distribuera dem programmatiskt i tjänster som Load Balancer och Cloud DNS osv. Du kan också använda certifikatutfärdartjänsten för att upprätta din privata certifikatutfärdare (CA) för att signera de privata certifikaten.
Obs! Du kan också använda Google Cloud Secret Manager för att lagra TLS-certifikat.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
DP-8: Säkerställ säkerheten för nyckel- och certifikatlagringsplatsen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IA-5, SC-12, SC-17 | 3,6 |
Säkerhetsprincip: Säkerställ säkerheten för nyckelvalvstjänsten som används för livscykelhantering av kryptografiska nycklar och certifikat. Härda nyckelvalvstjänsten via åtkomstkontroll, nätverkssäkerhet, loggning och övervakning samt säkerhetskopiering för att säkerställa att nycklar och certifikat alltid skyddas med maximal säkerhet.
Azure-vägledning: Skydda dina kryptografiska nycklar och certifikat genom att härda din Azure Key Vault-tjänst med hjälp av följande kontroller:
- Implementera åtkomstkontroll med hjälp av RBAC-principer i Azure Key Vault Managed HSM på nyckelnivå för att säkerställa att principerna för minsta behörighet och uppdelning av uppgifter följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa. För Azure Key Vault Standard och Premium skapar du unika valv för olika program för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs.
- Aktivera Azure Key Vault loggning för att säkerställa att viktiga aktiviteter för hanteringsplanet och dataplanet loggas.
- Skydda Azure Key Vault med Private Link och Azure Firewall för att säkerställa minimal exponering av tjänsten
- Använd hanterad identitet för att komma åt nycklar som lagras i Azure Key Vault i dina arbetsbelastningsprogram.
- När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
- Säkerhetskopiera dina nycklar och certifikat med Azure Key Vault. Aktivera mjukt borttagnings- och rensningsskydd för att undvika oavsiktlig borttagning av nycklar. När nycklar måste tas bort bör du överväga att inaktivera nycklar i stället för att ta bort dem för att undvika oavsiktlig borttagning av nycklar och kryptografisk radering av data.
- För byok-användningsfall (Bring Your Own Key) genererar du nycklar i en lokal HSM och importerar dem för att maximera nycklarnas livslängd och portabilitet.
- Lagra aldrig nycklar i klartextformat utanför Azure Key Vault. Nycklar i alla key vault-tjänster kan inte exporteras som standard.
- Använd HSM-stödda nyckeltyper (RSA-HSM) i Azure Key Vault Premium och Azure Managed HSM för maskinvaruskydd och de starkaste FIPS-nivåerna.
Aktivera Microsoft Defender for Key Vault för Azure-baserat avancerat skydd för Azure Key Vault, vilket ger ett ytterligare lager med säkerhetsinsikter.
Azure-implementering och ytterligare kontext:
- Översikt över Azure Key Vault
- Metodtips för Säkerhet i Azure Key Vault
- Använda hanterad identitet för att få åtkomst till Azure Key Vault
- Översikt över Microsoft Defender för Key Vault
AWS-vägledning: För säkerhet med kryptografiska nycklar skyddar du dina nycklar genom att härda din KMS-tjänst (AWS Key Management Service) med hjälp av följande kontroller:
- Implementera åtkomstkontroll med hjälp av nyckelprinciper (åtkomstkontroll på nyckelnivå) tillsammans med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att principerna för minsta behörighet och ansvarsfördelning följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa.
- Använd detektivkontroller som CloudTrails för att logga och spåra användningen av nycklar i KMS och varna dig om kritiska åtgärder.
- Lagra aldrig nycklar i klartextformat utanför KMS.
- När nycklar behöver tas bort bör du överväga att inaktivera nycklar i KMS i stället för att ta bort dem för att undvika oavsiktlig borttagning av nycklar och kryptografisk radering av data.
- När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
- För BYOK-användningsfall (Bring Your Own Key) genererar du nycklar i en lokal HSM och importerar dem för att maximera nycklarnas livslängd och portabilitet.
Skydda certifikaten för certifikatsäkerhet genom att härda AWS Certificate Manager-tjänsten (ACM) genom följande kontroller:
- Implementera åtkomstkontroll med hjälp av principer på resursnivå tillsammans med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att principerna för minsta behörighet och ansvarsfördelning följs. Se till exempel till att ansvarsfördelning är på plats för användarkonton: användarkonton som genererar certifikat är åtskilda från användarkonton som bara behöver skrivskyddad åtkomst till certifikat.
- Använd detektivkontroller som CloudTrails för att logga och spåra användningen av certifikaten i ACM och varna dig om kritiska åtgärder.
- Följ KMS-säkerhetsvägledningen för att skydda din privata nyckel (genererad för certifikatbegäran) som används för integrering av tjänstcertifikat.
AWS-implementering och ytterligare kontext:
GCP-vägledning: För säkerhet med kryptografiska nycklar skyddar du dina nycklar genom att härda nyckelhanteringstjänsten genom följande kontroller:
- Implementera åtkomstkontroll med hjälp av IAM-roller för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa.
- Skapa en separat nyckelring för varje projekt som gör att du enkelt kan hantera och styra åtkomsten till nycklarna enligt bästa praxis för lägsta behörighet. Det gör det också enklare att granska vem som har åtkomst till vilka nycklar när.
- Aktivera automatisk rotation av nycklar för att säkerställa att nycklarna uppdateras och uppdateras regelbundet. Detta hjälper till att skydda mot potentiella säkerhetshot, till exempel råstyrkeattacker eller skadliga aktörer som försöker få åtkomst till känslig information.
- Konfigurera en granskningsloggmottagare för att spåra alla aktiviteter som inträffar i din GCP KMS-miljö.
Skydda certifikaten för certifikatsäkerhet genom att härda GCP-certifikathanteraren och certifikatutfärdartjänsten genom följande kontroller:
- Implementera åtkomstkontroll med hjälp av principer på resursnivå tillsammans med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att principerna för minsta behörighet och ansvarsfördelning följs. Se till exempel till att ansvarsfördelning är på plats för användarkonton: användarkonton som genererar certifikat är åtskilda från användarkonton som bara behöver skrivskyddad åtkomst till certifikat.
- Använd detektivkontroller som Molngranskningsloggar för att logga och spåra användningen av certifikaten i Certifikathanteraren och varna dig om kritiska åtgärder.
- Secret Manager stöder även lagring av TLS-certifikat. Du måste följa liknande säkerhetspraxis för att implementera säkerhetskontrollerna i Secret Manager.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):