Sdílet prostřednictvím

Řízení zabezpečení: Ochrana dat

  • Článek

Ochrana dat zahrnuje kontrolu neaktivních uložených dat, přenášených dat a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a správy certifikátů.|

DP-1: Zjišťování, klasifikace a označování citlivých dat

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Princip zabezpečení: Vytvoření a údržba inventáře citlivých dat na základě definovaného rozsahu citlivých dat. Pomocí nástrojů můžete zjišťovat, klasifikovat a označovat citlivá data v oboru.

Doprovodné materiály k Azure: Používejte nástroje, jako je Microsoft Purview, které kombinuje bývalá řešení dodržování předpisů Azure Purview a Microsoft 365, a Azure SQL Data Discovery and Classification k centrální kontrole, klasifikaci a označování citlivých dat, která se nacházejí v Azure, v místním prostředí, Microsoftu 365 a dalších umístěních.

Implementace Azure a další kontext:

Pokyny pro AWS: Replikace dat z různých zdrojů do kontejneru úložiště S3 a použití AWS Macie ke kontrole, klasifikaci a označení citlivých dat uložených v kontejneru. AWS Macie dokáže detekovat citlivá data, jako jsou přihlašovací údaje zabezpečení, finanční informace, phi a piI data nebo jiný vzor dat na základě pravidel vlastních identifikátorů dat.

Ke kontrole, klasifikaci a označení citlivých dat umístěných v kontejneru úložiště S3 můžete použít také konektor azure Purview pro vyhledávání ve více cloudech.

Poznámka: Pro účely klasifikace a označování dat můžete také použít podniková řešení třetích stran z marketplace AWS.

Implementace AWS a další kontext:

Pokyny pro GCP: Pomocí nástrojů, jako je Ochrana před únikem informací Google Cloud, můžete centrálně kontrolovat, klasifikovat a označovat citlivá data, která se nacházejí v GCP a místních prostředích.

Kromě toho použijte Google Cloud Data Catalog k využití výsledků kontroly ochrany před únikem informací (Cloud Data Prevention) k identifikaci citlivých dat s definovanými šablonami značek.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.13 AC-4, SI-4 A3.2

Princip zabezpečení: Monitorujte anomálie týkající se citlivých dat, jako je neautorizovaný přenos dat do umístění mimo viditelnost a řízení podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.

Doprovodné materiály k Azure: Pomocí služby Azure Information Protection (AIP) můžete monitorovat klasifikovaná a označená data.

Použijte Microsoft Defender for Storage, Microsoft Defender for SQL, Microsoft Defender pro opensourcové relační databáze a Microsoft Defender for Cosmos DB k upozorňování na neobvyklý přenos informací, které můžou značit neoprávněné přenosy citlivých dat.

Poznámka: Pokud se vyžaduje dodržování předpisů ochrany před únikem informací, můžete použít řešení ochrany před únikem informací na základě hostitele z Azure Marketplace nebo řešení microsoftu 365 pro ochranu před únikem informací k vynucení detektivů nebo preventivních ovládacích prvků, které brání exfiltraci dat.

Implementace Azure a další kontext:

Pokyny k AWS: Použití AWS Macie k monitorování klasifikovaných a označených dat a použití GuardDuty k detekci neobvyklých aktivit u některých prostředků (S3, EC2 nebo Kubernetes nebo prostředků IAM). Závěry a výstrahy je možné analyzovat, analyzovat a sledovat pomocí EventBridge a předávat je do služby Microsoft Sentinel nebo Security Hub pro agregaci a sledování incidentů.

Účty AWS můžete také připojit k Programu Microsoft Defender for Cloud pro kontroly dodržování předpisů, zabezpečení kontejnerů a možnosti zabezpečení koncových bodů.

Poznámka: Pokud se vyžaduje dodržování předpisů ochrany před únikem informací, můžete použít řešení ochrany před únikem informací na základě hostitele z AWS Marketplace.

Implementace AWS a další kontext:

Pokyny pro GCP: Pomocí Centra google Cloud Security Command Center/ Detekce hrozeb událostí nebo detekce anomálií můžete upozorňovat na neobvyklý přenos informací, které můžou značit neoprávněné přenosy citlivých dat.

Účty GCP můžete také propojit s Programem Microsoft Defender for Cloud pro kontroly dodržování předpisů, zabezpečením kontejnerů a možnostmi zabezpečení koncových bodů.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-3: Šifrování citlivých dat během přenosu

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3,10 SC-8 3.5, 3.6, 4.1

Princip zabezpečení: Chraňte přenášená data před útoky mimo pásmo (například zachytáváním provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.

Nastavte hranice sítě a obor služby, kde šifrování přenášených dat je povinné uvnitř sítě i mimo síť. I když je tato možnost volitelná pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích.

Pokyny k Azure: Vynucování zabezpečeného přenosu ve službách, jako je Azure Storage, kde je integrovaná nativní funkce šifrování přenášených dat.

Vynucujte https pro úlohy a služby webových aplikací tím, že zajistíte, aby všichni klienti připojující se k prostředkům Azure používali protokol TLS (Transport Layer Security) verze 1.2 nebo novější. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.

Pro vzdálenou správu virtuálních počítačů Azure použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. K zabezpečenému přenosu souborů použijte službu SFTP/FTPS v objektech blob služby Azure Storage, aplikacích App Service a aplikacích funkcí místo běžné služby FTP.

Poznámka: Šifrování přenášených dat je povolené pro veškerý provoz Azure přenášený mezi datacentry Azure. Ve většině služeb Azure je ve výchozím nastavení povolený protokol TLS verze 1.2 nebo novější. Některé služby, jako je Azure Storage a Application Gateway, můžou na straně serveru vynutit protokol TLS verze 1.2 nebo novější.

Implementace Azure a další kontext:

Pokyny pro AWS: Vynucení zabezpečeného přenosu ve službách, jako jsou Amazon S3, RDS a CloudFront, kde je integrovaná nativní funkce šifrování přenášených dat.

Vynucujte https (například v AWS Elastic Load Balancer) pro webové aplikace a služby úloh (na straně serveru nebo na straně klienta nebo na obou) tím, že zajistíte, aby všichni klienti připojující se k prostředkům AWS používali protokol TLS verze 1.2 nebo novější.

Pro vzdálenou správu instancí EC2 použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. Pro zabezpečený přenos souborů použijte místo běžné služby FTP službu AWS Transfer SFTP nebo FTPS.

Poznámka: Veškerý síťový provoz mezi datovými centry AWS je transparentně šifrovaný ve fyzické vrstvě. Veškerý provoz v rámci VPC a mezi partnerskými sítěmi vpn napříč oblastmi je transparentně šifrovaný v síťové vrstvě při použití podporovaných typů instancí Amazon EC2. Ve většině služeb AWS je ve výchozím nastavení povolený protokol TLS verze 1.2 nebo novější. Některé služby, jako je AWS Load Balancer, můžou na straně serveru vynutit protokol TLS verze 1.2 nebo novější.

Implementace AWS a další kontext:

Pokyny pro GCP: Vynucujte zabezpečený přenos ve službách, jako je Google Cloud Storage, kde je integrovaná nativní funkce šifrování přenášených dat.

Vynucujte https pro úlohy a služby webových aplikací, aby všichni klienti připojující se k prostředkům GCP používali protokol TLS (Transport Layer Security) verze 1.2 nebo novější.

Pro vzdálenou správu Google Cloud Compute Engine místo nešifrovaného protokolu použijte SSH (pro Linux) nebo RDP/TLS (pro Windows). Pro zabezpečený přenos souborů použijte službu SFTP/FTPS ve službách, jako je Google Cloud Big Query nebo Cloud App Engine, místo běžné služby FTP.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.11 SC-28 3.4, 3.5

Princip zabezpečení: Pro doplnění řízení přístupu by neaktivní uložená data měla být chráněna proti útokům mimo pásmo (jako je přístup k podkladovému úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.

Pokyny k Azure: Mnoho služeb Azure má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury pomocí klíče spravovaného službou. Tyto klíče spravované službou se generují jménem zákazníka a každých dva roky se automaticky obměňují.

Pokud je to technicky možné a ve výchozím nastavení není povolené, můžete povolit šifrování neaktivních uložených dat ve službách Azure nebo ve virtuálních počítačích na úrovni úložiště, na úrovni souborů nebo na úrovni databáze.

Implementace Azure a další kontext:

Pokyny pro AWS: Mnoho služeb AWS má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury nebo platformy pomocí hlavního klíče zákazníka spravovaného službou AWS. Tyto hlavní klíče zákazníka spravované službou AWS se generují jménem zákazníka a automaticky se obměňují každé tři roky.

Pokud je to technicky možné a ve výchozím nastavení není povolené, můžete povolit šifrování neaktivních uložených dat ve službách AWS nebo ve virtuálních počítačích na úrovni úložiště, na úrovni souborů nebo na úrovni databáze.

Implementace AWS a další kontext:

Pokyny pro GCP: Mnoho produktů a služeb Google Cloud má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury pomocí klíče spravovaného službou. Tyto klíče spravované službou se generují jménem zákazníka a automaticky se obměňují.

Pokud technicky proveditelné a nepovoleno ve výchozím nastavení, můžete povolit šifrování neaktivních uložených dat ve službách GCP nebo ve virtuálních počítačích na úrovni úložiště, na úrovni souboru nebo na úrovni databáze.

Poznámka: Další podrobnosti najdete v dokumentu "Členitost šifrování služeb Google Cloud".

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Princip zabezpečení: V případě potřeby dodržování právních předpisů definujte případ použití a rozsah služby, kde je potřeba klíč spravovaný zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem ve službách.

Pokyny k Azure: Azure také poskytuje možnost šifrování pomocí klíčů spravovaných sami (klíče spravované zákazníkem) pro většinu služeb.

Azure Key Vault Standard, Premium a Managed HSM jsou nativně integrované s mnoha službami Azure pro případy použití klíčů spravovaných zákazníkem. Službu Azure Key Vault můžete použít k vygenerování klíče nebo používání vlastních klíčů.

Použití možnosti klíče spravovaného zákazníkem ale vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměna, odvolání a řízení přístupu atd.

Implementace Azure a další kontext:

Pokyny pro AWS: AWS také poskytuje možnost šifrování pomocí klíčů spravovaných sami (hlavní klíč spravovaný zákazníkem spravovaný zákazníkem uložený v AWS Služba správy klíčů) pro určité služby.

AWS Služba správy klíčů (KMS) je nativně integrovaný s mnoha službami AWS pro případy použití hlavního klíče zákazníka spravovaného zákazníkem. K vygenerování hlavních klíčů nebo používání vlastních klíčů můžete použít AWS Služba správy klíčů (KmS).

Použití možnosti klíče spravovaného zákazníkem ale vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměna, odvolání a řízení přístupu atd.

Implementace AWS a další kontext:

Pokyny pro GCP: Google Cloud poskytuje možnost šifrování pomocí klíčů spravovaných sami (klíče spravované zákazníkem) pro většinu služeb.

Služba Google Cloud Služba správy klíčů (Cloud KMS) je nativně integrovaná s mnoha službami GCP pro šifrovací klíče spravované zákazníkem. Tyto klíče je možné vytvářet a spravovat pomocí Cloud KmS a klíče uložíte jako softwarové klíče, v clusteru HSM nebo externě. Cloud KMS můžete použít k vygenerování klíče nebo k zadání vlastních klíčů (šifrovacích klíčů zadaných zákazníkem).

Použití možnosti klíče spravovaného zákazníkem ale vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměna, odvolání a řízení přístupu atd.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-6: Použití zabezpečeného procesu správy klíčů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-28 3,6

Princip zabezpečení: Zdokumentujte a implementujte standard, procesy a postupy správy kryptografických klíčů podniku pro řízení životního cyklu klíče. Pokud je potřeba ve službách používat klíč spravovaný zákazníkem, použijte zabezpečenou službu trezoru klíčů pro generování, distribuci a úložiště klíčů. Obměna a odvolávání klíčů na základě definovaného plánu a v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení.

Pokyny k Azure: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu a v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Při generování klíčů vyžaduje určitý kryptografický typ a minimální velikost klíče.

Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) ve službách nebo aplikacích úloh, ujistěte se, že dodržujete osvědčené postupy:

  • Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů.
  • Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a implementované prostřednictvím ID klíčů v každé službě nebo aplikaci.

Pokud chcete maximalizovat životnost a přenositelnost klíčů, přineste do služeb vlastní klíč (BYOK) (tj. import klíčů chráněných HSM z místních modulů HSM do služby Azure Key Vault). Při generování klíčů a přenosu klíčů postupujte podle doporučených pokynů.

Poznámka: Informace o úrovni FIPS 140–2 pro typy služby Azure Key Vault a úroveň dodržování předpisů a ověřování FIPS najdete níže.

  • Klíče chráněné softwarem v trezorech (SKU Premium &Standard): FIPS 140-2 Level 1
  • Klíče chráněné hsm v trezorech (SKU Premium): FIPS 140–2 level 2
  • Klíče chráněné hsm ve spravovaném HSM: FIPS 140–2 úroveň 3

Azure Key Vault Premium používá v back-endu sdílenou infrastrukturu HSM. Spravovaný HSM služby Azure Key Vault používá vyhrazené koncové body důvěrné služby s vyhrazeným HSM, pokud potřebujete vyšší úroveň zabezpečení klíčů.

Implementace Azure a další kontext:

Pokyny pro AWS: Použití AWS Služba správy klíčů (KMS) k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě KmS a vaší službě na základě definovaného plánu a v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení.

Pokud potřebujete použít hlavní klíč zákazníka spravovaný zákazníkem ve službách nebo aplikacích úloh, ujistěte se, že dodržujete osvědčené postupy:

  • Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve službě KmS.
  • Ujistěte se, že jsou klíče zaregistrované ve službě KmS, a implementujte je prostřednictvím zásad IAM v každé službě nebo aplikaci.

Pokud chcete maximalizovat životnost a přenositelnost klíčů, přineste do služeb vlastní klíč (BYOK) (tj. import klíčů chráněných HSM z místních modulů HSM do Služby správy klíčů nebo Cloud HSM). Při generování klíčů a přenosu klíčů postupujte podle doporučených pokynů.

Poznámka: AWS KmS používá sdílenou infrastrukturu HSM v back-endu. Vlastní úložiště klíčů AWS KMS zálohované AWS CloudHSM použijte, když potřebujete spravovat vlastní úložiště klíčů a vyhrazené moduly HSM (např. požadavek na dodržování právních předpisů pro vyšší úroveň zabezpečení klíčů) k vygenerování a ukládání šifrovacích klíčů.

Poznámka: Informace o úrovni dodržování předpisů FIPS 140–2 v AWS KmS a CloudHSM najdete níže:

  • Výchozí nastavení Služby správy klíčů AWS: Ověřeno fiPS 140–2 level 2
  • AWS KMS s využitím CloudHSM: Ověřeno FIPS 140-2 Level 3 (pro některé služby)
  • AWS CloudHSM: Ověřeno fiPS 140-2 level 3

Poznámka: Pro správu tajných kódů (přihlašovací údaje, heslo, klíče rozhraní API atd.) použijte AWS Secrets Manager.

Implementace AWS a další kontext:

Pokyny pro GCP: Použití Cloud Služba správy klíčů (Cloud KMS) k vytváření a správě životního cyklu šifrovacího klíče v kompatibilních službách Google Cloud a v aplikacích úloh. Obměna a odvolávání klíčů v Cloud KmS a vaší službě na základě definovaného plánu a v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení.

Pomocí služby Cloud HSM společnosti Google můžete poskytovat hardwarové klíče ke cloudovým klíčům Služby správy klíčů (Služba správy klíčů). Umožňuje spravovat a používat vlastní kryptografické klíče a současně je chránit plně spravovanými moduly hardwarového zabezpečení (HSM).

Cloudová služba HSM používá moduly HSM, které jsou ověřeny úrovní 140–2 úrovně 3 a vždy běží v režimu FIPS. FiPS 140-2 level 3-validated a vždy běží v režimu FIPS. Standard FIPS určuje kryptografické algoritmy a generování náhodných čísel používaných moduly HSM.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-7: Použití zabezpečeného procesu správy certifikátů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-17 3,6

Princip zabezpečení: Dokumentujte a implementujte standard správy podnikových certifikátů, procesy a postupy, které zahrnují řízení životního cyklu certifikátů a zásady certifikátů (pokud je potřeba infrastruktura veřejného klíče).

Zajistěte, aby certifikáty používané důležitými službami ve vaší organizaci byly inventarizovány, sledovány, monitorovány a obnovovány včas pomocí automatizovaného mechanismu, aby nedocházelo k přerušení služeb.

Doprovodné materiály k Azure: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu certifikátu, včetně vytvoření/importu, obměny, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátu dodržuje definovaný standard bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu ve službě Azure Key Vault a podporované služby Azure na základě definovaného plánu a vypršení platnosti certifikátu. Pokud front-endová aplikace nepodporuje automatickou rotaci, použijte ruční otočení ve službě Azure Key Vault.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení. Místo toho můžete ve službě Azure Key Vault vytvořit veřejné podepsané certifikáty. Následující certifikační autority (CA) jsou partneři, kteří jsou aktuálně integrovaní se službou Azure Key Vault.

  • DigiCert: Azure Key Vault nabízí certifikáty TLS/SSL OV s DigiCertem.
  • GlobalSign: Azure Key Vault nabízí certifikáty TLS/SSL OV s globalSignem.

Poznámka: Používejte jenom schválenou certifikační autoritu a ujistěte se, že jsou zakázané známé chybné kořenové nebo zprostředkující certifikáty vydané těmito certifikačními autoritami.

Implementace Azure a další kontext:

Pokyny pro AWS: Použití AWS Certificate Manageru (ACM) k vytvoření a řízení životního cyklu certifikátu, včetně vytvoření/importu, obměně, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátu dodržuje definovaný standard bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu v ACM a podporované služby AWS na základě definovaného plánu a vypršení platnosti certifikátu. Pokud front-endová aplikace nepodporuje automatickou rotaci, použijte ruční otočení v ACM. Mezitím byste měli vždy sledovat stav obnovení certifikátu, abyste zajistili platnost certifikátu.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení. Místo toho vytvořte certifikáty podepsané veřejnými podpisy (podepsané autoritou Amazon Certificate Authority) v ACM a nasaďte ho programově ve službách, jako jsou CloudFront, Load Balancers, API Gateway atd. ACM můžete také použít k vytvoření vaší privátní certifikační autority (CA) k podepsání privátních certifikátů.

Poznámka: Používejte pouze schválenou certifikační autoritu a ujistěte se, že jsou zakázané známé chybné kořenové nebo zprostředkující certifikáty certifikační autority vydané těmito certifikačními autoritami.

Implementace AWS a další kontext:

Pokyny pro GCP: Pomocí Správce certifikátů Google Cloud můžete vytvořit a řídit životní cyklus certifikátu, včetně vytvoření/importu, obměna, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátu dodržuje definovaný standard bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu ve Správci certifikátů a podporované služby GCP na základě definovaného plánu a vypršení platnosti certifikátu. Pokud front-endová aplikace nepodporuje automatickou rotaci, použijte ruční obměnu ve Správci certifikátů. Mezitím byste měli vždy sledovat stav obnovení certifikátu, abyste zajistili platnost certifikátu.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení. Místo toho můžete vytvořit podepsané veřejné certifikáty ve Správci certifikátů a nasadit ho programově ve službách, jako je Load Balancer a Cloud DNS atd. Službu certifikační autority můžete také použít k vytvoření privátní certifikační autority (CA) k podepsání privátních certifikátů.

Poznámka: Certifikáty TLS můžete ukládat také pomocí Google Cloud Secret Manageru.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

DP-8: Zajištění zabezpečení klíče a úložiště certifikátů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-17 3,6

Princip zabezpečení: Zajistěte zabezpečení služby trezoru klíčů používané pro kryptografický klíč a správu životního cyklu certifikátů. Posílení zabezpečení služby trezoru klíčů prostřednictvím řízení přístupu, zabezpečení sítě, protokolování a monitorování a zálohování, aby se zajistilo, že klíče a certifikáty budou vždy chráněny pomocí maximálního zabezpečení.

Doprovodné materiály k Azure: Zabezpečení kryptografických klíčů a certifikátů posílením zabezpečení služby Azure Key Vault pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí zásad RBAC ve spravovaném HSM služby Azure Key Vault na úrovni klíče, abyste zajistili dodržování nejnižších oprávnění a oddělení principů povinností. Například zajistěte oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli možnost přistupovat k šifrovaným datům a naopak. Pro Azure Key Vault Úrovně Standard a Premium vytvořte jedinečné trezory pro různé aplikace, abyste zajistili dodržování nejnižších oprávnění a oddělení principů povinností.
  • Zapněte protokolování služby Azure Key Vault, abyste zajistili, že se protokolují důležité aktivity roviny správy a roviny dat.
  • Zabezpečení služby Azure Key Vault pomocí služby Private Link a služby Azure Firewall za účelem zajištění minimální expozice služby
  • Spravovanou identitu použijte pro přístup ke klíčům uloženým ve službě Azure Key Vault v aplikacích úloh.
  • Při mazání dat se ujistěte, že se klíče neodstraní před vyprázdněním skutečných dat, záloh a archivů.
  • Zálohujte své klíče a certifikáty pomocí služby Azure Key Vault. Povolte ochranu proti obnovitelnému odstranění a vymazání, abyste zabránili náhodnému odstranění klíčů. Pokud je potřeba klíče odstranit, zvažte zakázání klíčů místo jejich odstranění, abyste se vyhnuli náhodnému odstranění klíčů a kryptografickému vymazání dat.
  • V případě použití vlastního klíče (BYOK) vygenerujte klíče v místním modulu HSM a naimportujte je, abyste maximalizovali životnost a přenositelnost klíčů.
  • Nikdy neukládejte klíče ve formátu prostého textu mimo Azure Key Vault. Klíče ve všech službách trezoru klíčů se ve výchozím nastavení nedají exportovat.
  • Pro ochranu hardwaru a nejsilnější úrovně FIPS používejte typy klíčů založené na HSM (RSA-HSM) ve službě Azure Key Vault Premium a Spravované HSM Azure.

Microsoft Defender for Key Vault povolte, pokud chcete pro Azure Key Vault získat rozšířenou ochranu před internetovými útoky nativní pro Azure, která poskytuje další vrstvu bezpečnostní analýzy.

Implementace Azure a další kontext:

Pokyny pro AWS: Zabezpečení kryptografických klíčů zabezpečením klíčů posílením zabezpečení služby AWS Služba správy klíčů (KmS) pomocí následujících ovládacích prvků:

  • Implementovat řízení přístupu pomocí klíčových zásad (řízení přístupu na úrovni klíčů) ve spojení se zásadami IAM (řízení přístupu na základě identit) za účelem zajištění dodržování nejnižších oprávnění a oddělení principů povinností. Například zajistěte oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli možnost přistupovat k šifrovaným datům a naopak.
  • Pomocí detektivových ovládacích prvků, jako jsou CloudTrails, můžete protokolovat a sledovat použití klíčů ve službě KmS a upozorňovat na kritické akce.
  • Nikdy neukládejte klíče ve formátu prostého textu mimo Službu správy klíčů.
  • Pokud je potřeba klíče odstranit, zvažte zakázání klíčů ve službě KmS místo jejich odstranění, abyste se vyhnuli náhodnému odstranění klíčů a kryptografickému vymazání dat.
  • Při mazání dat se ujistěte, že se klíče neodstraní před vyprázdněním skutečných dat, záloh a archivů.
  • V případě použití vlastního klíče (BYOK) vygenerujte klíče v místním HSM a naimportujte je, abyste maximalizovali životnost a přenositelnost klíčů.

V případě zabezpečení certifikátů zabezpečte certifikáty posílením zabezpečení služby AWS Certificate Manager (ACM) pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí zásad na úrovni prostředků ve spojení se zásadami IAM (řízení přístupu na základě identit), abyste zajistili dodržování nejnižších oprávnění a oddělení principů povinností. Například zajistit oddělení povinností pro uživatelské účty: uživatelské účty, které generují certifikáty, jsou oddělené od uživatelských účtů, které vyžadují pouze přístup jen pro čtení k certifikátům.
  • Pomocí detektivových ovládacích prvků, jako jsou CloudTrails, můžete protokolovat a sledovat využití certifikátů v ACM a upozorňovat na kritické akce.
  • Postupujte podle pokynů k zabezpečení Služby správy klíčů a zabezpečte svůj privátní klíč (vygenerovaný pro žádost o certifikát), který se používá pro integraci certifikátů služby.

Implementace AWS a další kontext:

Pokyny pro GCP: Zabezpečení kryptografických klíčů zabezpečením klíčů posílením zabezpečení Služba správy klíčů následujícími ovládacími prvky:

  • Implementujte řízení přístupu pomocí rolí IAM, abyste zajistili dodržování nejnižších oprávnění a oddělení principů povinností. Například zajistěte oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli možnost přistupovat k šifrovaným datům a naopak.
  • Vytvořte samostatný okruh klíčů pro každý projekt, který umožňuje snadnou správu a řízení přístupu ke klíčům podle osvědčených postupů s nejnižšími oprávněními. Usnadňuje také auditování, kdo má přístup ke kterým klíčům, kdy.
  • Povolte automatickou obměnu klíčů, abyste měli jistotu, že se klíče pravidelně aktualizují a aktualizují. To pomáhá chránit před potenciálními bezpečnostními hrozbami, jako jsou útoky hrubou silou nebo aktéři se zlými úmysly, kteří se pokoušejí získat přístup k citlivým informacím.
  • Nastavte jímku protokolu auditu pro sledování všech aktivit, ke kterým dochází v prostředí GCP KMS.

Zabezpečení certifikátů zajistíte zabezpečením certifikátů posílením zabezpečení správce certifikátů GCP a služby certifikační autority pomocí následujících ovládacích prvků:

  • Implementujte řízení přístupu pomocí zásad na úrovni prostředků ve spojení se zásadami IAM (řízení přístupu na základě identit), abyste zajistili dodržování nejnižších oprávnění a oddělení principů povinností. Například zajistit oddělení povinností pro uživatelské účty: uživatelské účty, které generují certifikáty, jsou oddělené od uživatelských účtů, které vyžadují pouze přístup jen pro čtení k certifikátům.
  • Pomocí detektivových ovládacích prvků, jako jsou protokoly auditu cloudu, můžete protokolovat a sledovat využití certifikátů ve Správci certifikátů a upozorňovat na kritické akce.
  • Secret Manager také podporuje úložiště certifikátu TLS. K implementaci kontrolních mechanismů zabezpečení v Secret Manageru je potřeba postupovat podle podobných postupů zabezpečení.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):