Sicherheitskontrolle: Datenschutz
Der Datenschutz umfasst die Kontrolle des ruhenden Datenschutzes, der Übertragung und über autorisierte Zugriffsmechanismen, einschließlich Ermittlung, Klassifizierung, Schutz und Überwachung vertraulicher Datenressourcen mithilfe der Zugriffssteuerung, Verschlüsselung, Schlüsselverwaltung und Zertifikatverwaltung.|
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Sicherheitsprinzip: Einrichten und Verwalten eines Inventars der vertraulichen Daten basierend auf dem definierten Bereich vertraulicher Daten. Verwenden Sie Tools zum Erkennen, Klassifizieren und Bezeichnen der vertraulichen Daten im betreffenden Bereich.
Azure-Leitfaden: Verwenden Sie Tools wie Microsoft Purview, die die ehemaligen Azure Purview- und Microsoft 365-Compliancelösungen kombiniert, und Azure SQL Data Discovery and Classification, um die vertraulichen Daten, die sich in Azure, lokal, Microsoft 365 und anderen Speicherorten befinden, zentral zu scannen, zu klassifizieren und zu bezeichnen.
Azure-Implementierung und zusätzlicher Kontext:
- Übersicht über die Datenklassifizierung
- Bezeichnungen in Microsoft Purview Data Map
- Markieren vertraulicher Informationen mit Azure Information Protection
- Implementieren von Azure SQL Data Discovery
- Azure Purview-Datenquellen
AWS-Leitfaden: Replizieren Sie Ihre Daten aus verschiedenen Quellen in einen S3-Speicher-Bucket und verwenden Sie AWS Macie, um die im Bucket gespeicherten vertraulichen Daten zu scannen, zu klassifizieren und zu kennzeichnen. AWS Macie kann vertrauliche Daten wie Sicherheitsanmeldeinformationen, Finanzinformationen, PHI- und PII-Daten oder ein anderes Datenmuster basierend auf den benutzerdefinierten Datenbezeichnerregeln erkennen.
Sie können auch den Azure Purview Multi-Cloud Scan Connector verwenden, um die vertraulichen Daten zu scannen, zu klassifizieren und zu kennzeichnen, die sich in einem S3-Speicher-Bucket befinden.
Hinweis: Sie können auch Unternehmenslösungen von Drittanbietern aus dem AWS-Marketplace zum Zweck der Datenermittlungsklassifizierung und -kennzeichnung verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie Tools wie Google Cloud Data Loss Prevention, um die vertraulichen Daten, die sich in den GCP- und lokalen Umgebungen befinden, zentral zu scannen, zu klassifizieren und zu kennzeichnen.
Verwenden Sie außerdem den Google Cloud Data Catalog, um die Ergebnisse einer Dlp-Überprüfung (Cloud Data Loss Prevention) zu verwenden, um vertrauliche Daten mit definierten Tagvorlagen zu identifizieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Sicherheitsprinzip: Überwachen sie auf Anomalien rund um vertrauliche Daten, z. B. nicht autorisierte Übertragung von Daten an Standorte außerhalb der Unternehmenssichtbarkeit und -kontrolle. Dies umfasst in der Regel die Überwachung anomaler Aktivitäten (große oder ungewöhnliche Übertragungen), die auf eine nicht autorisierte Datenexfiltration hindeuten können.
Azure-Leitfaden: Verwenden Sie Azure Information Protection (AIP), um die Daten zu überwachen, die klassifiziert und bezeichnet wurden.
Verwenden Sie Microsoft Defender für Storage, Microsoft Defender für SQL, Microsoft Defender für open-source relationale Datenbanken und Microsoft Defender für Cosmos DB, um auf eine anomaliele Übertragung von Informationen hinzuweisen, die möglicherweise auf nicht autorisierte Übertragungen vertraulicher Dateninformationen hinweisen.
Hinweis: Wenn für die Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich, können Sie eine hostbasierte DLP-Lösung aus Azure Marketplace oder eine Microsoft 365 DLP-Lösung verwenden, um detektive und/oder präventive Steuerelemente zu erzwingen, um Datenexfiltration zu verhindern.
Azure-Implementierung und zusätzlicher Kontext:
- Aktivieren von Azure Defender für SQL
- Aktivieren von Azure Defender für Storage
- Aktivieren von Microsoft Defender für Azure Cosmos DB
- Aktivieren von Microsoft Defender für relationale Open-Source-Datenbanken und Reagieren auf Warnungen
AWS-Leitfaden: Verwenden Sie AWS Macie, um die Daten zu überwachen, die klassifiziert und gekennzeichnet wurden, und verwenden Sie GuardDuty, um anomale Aktivitäten für einige Ressourcen zu erkennen (S3, EC2 oder Kubernetes oder IAM-Ressourcen). Ergebnisse und Warnungen können mithilfe von EventBridge triaged, analysiert und nachverfolgt und an Microsoft Sentinel oder Security Hub zur Aggregation und Nachverfolgung von Vorfällen weitergeleitet werden.
Sie können Ihre AWS-Konten auch mit Microsoft Defender for Cloud verbinden, um Complianceprüfungen, Containersicherheit und Endpunktsicherheitsfunktionen zu erhalten.
Hinweis: Falls für die Einhaltung der Verhinderung von Datenverlust (Data Loss Prevention, DLP) erforderlich, können Sie eine hostbasierte DLP-Lösung aus AWS Marketplace verwenden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie das Google Cloud Security Command Center/Ereignis-Bedrohungserkennung/Anomalieerkennung, um auf eine anomaliele Übertragung von Informationen hinzuweisen, die auf nicht autorisierte Übertragungen vertraulicher Daten hinweisen können.
Sie können Auch Ihre GCP-Konten mit Microsoft Defender für Cloud für Complianceprüfungen, Containersicherheit und Endpunktsicherheitsfunktionen verbinden.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über die Erkennung von Ereignisrisiken
- Anomalieerkennung mit Streaming analytics & AI
- Erkennung von Anomalien
Kundensicherheitsbeteiligte (Weitere Informationen):
- Sicherheitsvorgänge
- Anwendungssicherheit und DevOps-Funktionen
- Infrastruktur- und Endpunktsicherheit
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Sicherheitsprinzip: Schützen Sie die Daten während der Übertragung vor "Out-of-Band"-Angriffen (z. B. der Datenverkehrserfassung) mithilfe von Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Legen Sie die Netzwerkgrenze und den Dienstbereich fest, in dem die Verschlüsselung von Daten während der Übertragung innerhalb und außerhalb des Netzwerks obligatorisch ist. Obwohl dies bei Datenverkehr in privaten Netzwerken optional ist, ist es für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung.
Azure-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Azure Storage, bei denen ein systemeigenes Feature für die Übertragungsverschlüsselung integriert ist.
Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren Azure-Ressourcen herstellen, Transport Layer Security (TLS) v1.2 oder höher verwenden. Verwenden Sie für die Remoteverwaltung von VMs SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Verwenden Sie für die Remoteverwaltung virtueller Azure-Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Azure Storage Blob-, App-Dienst-Apps und Funktions-Apps, anstatt den regulären FTP-Dienst zu verwenden.
Hinweis: Die Verschlüsselung von Daten während der Übertragung ist für den gesamten Azure-Datenverkehr zwischen Azure-Rechenzentren aktiviert. TLS v1.2 oder höher ist standardmäßig für die meisten Azure-Dienste aktiviert. Und einige Dienste wie Azure Storage und Anwendungsgateway können TLS v1.2 oder höher auf der Serverseite erzwingen.
Azure-Implementierung und zusätzlicher Kontext:
- Doppelte Verschlüsselung für Azure-Daten während der Übertragung
- Grundlegendes zur Verschlüsselung während der Übertragung mit Azure
- Informationen zur TLS-Sicherheit
- Erzwingen der sicheren Übertragung in Azure Storage
AWS-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Amazon S3, RDS und CloudFront, bei denen eine native Daten in der Transitverschlüsselungsfunktion integriert ist.
Erzwingen Sie HTTPS (z. B. in AWS Elastic Load Balancer) für Workload-Webanwendungen und -Dienste (entweder auf serverseitiger oder clientseitiger Ebene oder auf beiden Seiten), indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren AWS-Ressourcen herstellen, TLS v1.2 oder höher verwenden.
Verwenden Sie für die Remoteverwaltung von EC2-Instanzen SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den AWS Transfer SFTP- oder FTPS-Dienst anstelle eines regulären FTP-Diensts.
Hinweis: Der gesamte Netzwerkdatenverkehr zwischen AWS-Rechenzentren wird transparent auf physischer Ebene verschlüsselt. Bei Verwendung unterstützter Amazon EC2-Instanztypen wird der gesamte Datenverkehr innerhalb eines REGIONS und zwischen peered VPCs in allen Regionen transparent verschlüsselt. TLS v1.2 oder höher ist standardmäßig für die meisten AWS-Dienste aktiviert. Und einige Dienste wie AWS Load Balancer können TLS v1.2 oder höher auf der Serverseite erzwingen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Erzwingen der sicheren Übertragung in Diensten wie Google Cloud Storage, bei denen ein systemeigenes Feature für die Übertragungsverschlüsselung integriert ist.
Erzwingen Sie HTTPS für Webanwendungsworkloads und -dienste, um sicherzustellen, dass alle Clients, die eine Verbindung mit Ihren GCP-Ressourcen herstellen, Transport Layer Security (TLS) v1.2 oder höher verwenden.
Für die Remoteverwaltung verwenden Google Cloud Compute Engine SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Verwenden Sie für die sichere Dateiübertragung den SFTP/FTPS-Dienst in Diensten wie Google Cloud Big Query oder Cloud App Engine anstelle eines regulären FTP-Diensts.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps-Funktionen
- Datensicherheit
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Sicherheitsprinzip: Um Zugriffskontrollen zu ergänzen, sollten ruhende Daten mit Verschlüsselung vor "Out-of-Band"-Angriffen (z. B. zugriff auf zugrunde liegende Speicher) geschützt werden. Dadurch wird sichergestellt, dass die Daten von Angreifern nicht einfach gelesen oder geändert werden können.
Azure-Leitfaden: Viele Azure-Dienste verfügen über ruhende Datenverschlüsselung, die standardmäßig auf der Infrastrukturebene mithilfe eines vom Dienst verwalteten Schlüssels aktiviert sind. Diese vom Dienst verwalteten Schlüssel werden im Auftrag des Kunden generiert und alle zwei Jahre automatisch gedreht.
Wenn technisch machbar und nicht standardmäßig aktiviert, können Sie Daten in ruhenden Verschlüsselungen in den Azure-Diensten oder in Ihren virtuellen Computern auf Speicherebene, Dateiebene oder Datenbankebene aktivieren.
Azure-Implementierung und zusätzlicher Kontext:
- Grundlegendes zur Verschlüsselung ruhender Daten in Azure
- Doppelte Verschlüsselung für ruhende Daten in Azure
- Tabelle für Verschlüsselungsmodell und Schlüsselverwaltung
AWS-Leitfaden: Viele AWS-Dienste verfügen über ruhende Datenverschlüsselung, die standardmäßig auf der Infrastruktur-/Plattformebene mithilfe eines von AWS verwalteten Kundenmasterschlüssels aktiviert sind. Diese von AWS verwalteten Kundenmasterschlüssel werden im Auftrag des Kunden generiert und alle drei Jahre automatisch gedreht.
Wenn technisch machbar und nicht standardmäßig aktiviert, können Sie Daten in den AWS-Diensten oder in Ihren virtuellen Computern auf Speicherebene, Dateiebene oder Datenbankebene aktivieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Viele Google Cloud-Produkte und -Dienste verfügen über standardmäßig auf der Infrastrukturebene aktivierte Datenverschlüsselung mithilfe eines dienstverwalteten Schlüssels. Diese vom Dienst verwalteten Schlüssel werden im Auftrag des Kunden generiert und automatisch gedreht.
Wenn technisch machbar und nicht standardmäßig aktiviert, können Sie Daten in ruhenden Verschlüsselung in den GCP-Diensten oder in Ihren virtuellen Computern auf Speicherebene, Dateiebene oder Datenbankebene aktivieren.
Hinweis: Weitere Details finden Sie im Dokument ""Granularität der Verschlüsselung für Google Cloud Services".
GCP-Implementierung und zusätzlicher Kontext:
- Ruhende Standardverschlüsselung
- Datenverschlüsselungsoptionen
- Granularität der Verschlüsselung für Google Cloud-Dienste
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Sicherheitsprinzip: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem vom Kunden verwaltete Schlüsseloption erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln in Diensten.
Azure-Leitfaden: Azure bietet auch eine Verschlüsselungsoption mithilfe von Schlüsseln, die von sich selbst (vom Kunden verwaltete Schlüssel) für die meisten Dienste verwaltet werden.
Azure Key Vault Standard, Premium und Managed HSM sind nativ in viele Azure Services für vom Kunden verwaltete Anwendungsfälle integriert. Sie können Azure Key Vault verwenden, um Ihren Schlüssel zu generieren oder Eigene Schlüssel mitzubringen.
Die Verwendung der vom Kunden verwalteten Schlüsseloption erfordert jedoch zusätzliche betriebliche Anstrengungen, um den Schlüssellebenszyklus zu verwalten. Dazu können Verschlüsselungsschlüsselgenerierung, Drehung, Widerrufen und Zugriffssteuerung usw. gehören.
Azure-Implementierung und zusätzlicher Kontext:
- Tabelle für Verschlüsselungsmodell und Schlüsselverwaltung
- Dienste mit Unterstützung der Verschlüsselung über kundenseitig verwaltete Schlüssel
- Konfigurieren kundenseitig verwalteter Verschlüsselungsschlüssel in Azure Storage
AWS-Leitfaden: AWS bietet auch eine Verschlüsselungsoption mithilfe von Schlüsseln, die von sich selbst verwaltet werden (vom Kunden verwalteter Kundenmasterschlüssel, der in AWS Schlüsselverwaltungsdienst gespeichert ist) für bestimmte Dienste.
AWS Schlüsselverwaltungsdienst (KMS) ist nativ in viele AWS-Dienste für kundenverwaltete Kundenmaster-Anwendungsfälle integriert. Sie können entweder AWS Schlüsselverwaltungsdienst (KMS) verwenden, um Ihre Masterschlüssel zu generieren oder Eigene Schlüssel mitzubringen.
Die Verwendung der vom Kunden verwalteten Schlüsseloption erfordert jedoch zusätzliche operative Anstrengungen, um den Schlüssellebenszyklus zu verwalten. Dazu können Verschlüsselungsschlüsselgenerierung, Drehung, Widerrufen und Zugriffssteuerung usw. gehören.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Google Cloud bietet eine Verschlüsselungsoption mithilfe von Schlüsseln, die von sich selbst (vom Kunden verwaltete Schlüssel) für die meisten Dienste verwaltet werden.
Google Cloud Schlüsselverwaltungsdienst (Cloud KMS) ist nativ in viele GCP-Dienste für vom Kunden verwaltete Verschlüsselungsschlüssel integriert. Diese Schlüssel können mithilfe von Cloud KMS erstellt und verwaltet werden, und Sie speichern die Schlüssel als Softwareschlüssel, in einem HSM-Cluster oder extern. Sie können Cloud KMS verwenden, um Ihren Schlüssel zu generieren oder Eigene Schlüssel (vom Kunden bereitgestellte Verschlüsselungsschlüssel) zu liefern.
Die Verwendung der vom Kunden verwalteten Schlüsseloption erfordert jedoch zusätzliche operative Anstrengungen, um den Schlüssellebenszyklus zu verwalten. Dazu können Verschlüsselungsschlüsselgenerierung, Drehung, Widerrufen und Zugriffssteuerung usw. gehören.
GCP-Implementierung und zusätzlicher Kontext:
- Ruhende Standardverschlüsselung
- Datenverschlüsselungsoptionen
- Von Kunden verwaltete Verschlüsselungsschlüssel
- Vom Kunden bereitgestellter Verschlüsselungsschlüssel
Kundensicherheitsbeteiligte (Weitere Informationen):
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps-Funktionen
- Datensicherheit
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/V | IA-5, SC-12, SC-28 | 3.6 |
Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Enterprise-Kryptografieschlüsselverwaltungsstandard, -prozesse und -verfahren, um Ihren Schlüssellebenszyklus zu steuern. Wenn ein kundenseitig verwalteter Schlüssel in den Diensten verwendet werden muss, nutzen Sie einen geschützten Schlüsseltresordienst für die Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel basierend auf dem definierten Zeitplan und bei Außerbetriebnahme oder Kompromittierung eines Schlüssels.
Azure-Leitfaden: Verwenden Von Azure Key Vault zum Erstellen und Steuern des Lebenszyklus Ihrer Verschlüsselungsschlüssel, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf dem definierten Zeitplan und bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Benötigen Sie beim Generieren von Schlüsseln einen bestimmten kryptografischen Typ und eine mindeste Schlüsselgröße.
Wenn kundenseitig verschlüsselte Schlüssel (Customer-Managed Key, CMK) in den Workloaddiensten oder -anwendungen verwendet werden müssen, befolgen Sie die bewährten Methoden:
- Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren.
- Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs in jedem Dienst oder jeder Anwendung implementiert werden.
Um die Schlüssellebensdauer und Portabilität zu maximieren, bringen Sie Ihren eigenen Schlüssel (BYOK) in die Dienste (d. h. importieren HSM-geschützte Schlüssel aus Ihren lokalen HSMs in Azure Key Vault). Befolgen Sie die empfohlene Richtlinie, um die Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Hinweis: Im Folgenden finden Sie informationen zur FIPS 140-2-Ebene für Azure Key Vault-Typen und FIPS-Compliance-/Validierungsstufe.
- Softwaregeschützte Schlüssel in Tresoren (Premium & Standard SKUs): FIPS 140-2 Level 1
- Durch HSM geschützte Schlüssel in Tresoren (Premium-SKU): FIPS 140-2 Level 2
- Durch HSM geschützte Schlüssel in verwaltetem HSM: FIPS 140-2 Level 3
Azure Key Vault Premium verwendet eine freigegebene HSM-Infrastruktur im Back-End. Azure Key Vault Managed HSM verwendet dedizierte, vertrauliche Dienstendpunkte mit einem dedizierten HSM, wenn Sie eine höhere Sicherheitsstufe benötigen.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist der Azure-Schlüsseltresor?
- Azure-Datenverschlüsselung ruhender Daten – Schlüsselhierarchie
- BYOK (Bring Your Own Key) Spezifikation
AWS-Leitfaden: Verwenden Sie AWS Schlüsselverwaltungsdienst (KMS), um Ihren Lebenszyklus von Verschlüsselungsschlüsseln zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Drehen und widerrufen Sie Ihre Schlüssel in KMS und Ihrem Dienst basierend auf dem definierten Zeitplan und bei einer wichtigen Einstellung oder Kompromittierung.
Wenn sie den kundenverwalteten Kundenmasterschlüssel in den Workloaddiensten oder Anwendungen verwenden müssen, stellen Sie sicher, dass Sie die bewährten Methoden befolgen:
- Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Dem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem KMS zu generieren.
- Stellen Sie sicher, dass Schlüssel bei KMS registriert und über IAM-Richtlinien in jedem Dienst oder jeder Anwendung implementiert werden.
Um die Schlüssellebensdauer und Portabilität zu maximieren, bringen Sie Ihren eigenen Schlüssel (BYOK) in die Dienste (d. h. importieren HSM-geschützte Schlüssel aus Ihren lokalen HSMs in KMS oder Cloud HSM). Befolgen Sie die empfohlene Richtlinie, um die Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Hinweis: AWS KMS verwendet gemeinsam genutzte HSM-Infrastruktur im Back-End. Verwenden Sie aws KMS Custom Key Store, der von AWS CloudHSM unterstützt wird, wenn Sie Ihren eigenen Schlüsselspeicher und dedizierte HSMs verwalten müssen (z. B. gesetzliche Compliance-Anforderung für höhere Schlüsselsicherheit), um Ihre Verschlüsselungsschlüssel zu generieren und zu speichern.
Hinweis: Im Folgenden finden Sie informationen zur FIPS 140-2-Ebene für FIPS-Complianceebene in AWS KMS und CloudHSM:
- AWS KMS-Standard: FIPS 140-2 Level 2 überprüft
- AWS KMS mit CloudHSM: FIPS 140-2 Level 3 (für bestimmte Dienste) validiert
- AWS CloudHSM: FIPS 140-2 Level 3 validiert
Hinweis: Verwenden Sie für die Verwaltung geheimer Schlüssel (Anmeldeinformationen, Kennwort, API-Schlüssel usw.) AWS Secrets Manager.
AWS-Implementierung und zusätzlicher Kontext:
- VON AWS verwaltete und vom Kunden verwaltete CMKs
- Importieren von Schlüsselmaterial in AWS KMS-Schlüsseln
- Sichere Übertragung von Schlüsseln in CloudHSM
- Erstellen eines benutzerdefinierten Schlüsselspeichers, der von CloudHSM unterstützt wird
GCP-Leitfaden: Verwenden Von Cloud Schlüsselverwaltungsdienst (Cloud KMS) zum Erstellen und Verwalten von Verschlüsselungsschlüssellebenszyklus in kompatiblen Google Cloud-Diensten und in Ihren Workloadanwendungen. Drehen und widerrufen Sie Ihre Schlüssel in Cloud KMS und Ihrem Dienst basierend auf dem definierten Zeitplan und bei einer wichtigen Einstellung oder Kompromittierung.
Verwenden Sie den Cloud HSM-Dienst von Google, um Hardware-gesicherte Schlüssel für Cloud KMS (Schlüsselverwaltungsdienst) bereitzustellen. Es bietet Ihnen die Möglichkeit, Ihre eigenen kryptografischen Schlüssel zu verwalten und zu verwenden, während sie durch vollständig verwaltete Hardwaresicherheitsmodule (HSM) geschützt werden.
Der Cloud HSM-Dienst verwendet HSMs, die FIPS 140-2 Level 3-validiert sind und immer im FIPS-Modus ausgeführt werden. FIPS 140-2 Level 3-validiert und wird immer im FIPS-Modus ausgeführt. DER FIPS-Standard gibt die kryptografischen Algorithmen und die Zufallszahlengenerierung an, die von den HSMs verwendet werden.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über Cloud-Schlüsselverwaltungsdienst
- Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
- Cloud HSM
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/V | IA-5, SC-12, SC-17 | 3.6 |
Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Unternehmenszertifikatverwaltungsstandard, Prozesse und Verfahren, die die Zertifikatlebenszyklussteuerung und Zertifikatrichtlinien umfassen (wenn eine Public Key-Infrastruktur erforderlich ist).
Stellen Sie sicher, dass die von den kritischen Diensten in Ihrer Organisation verwendeten Zertifikate rechtzeitig inventarisiert, nachverfolgt, überwacht und erneuert werden, indem Sie automatisierte Mechanismen einsetzen, um Dienstunterbrechungen zu vermeiden.
Azure-Leitfaden: Verwenden von Azure Key Vault zum Erstellen und Steuern des Zertifikatlebenszyklus, einschließlich Erstellung/Import, Drehung, Sperrung, Speicher und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Drehung des Zertifikats in Azure Key Vault ein und unterstützte Azure-Dienste basierend auf dem definierten Zeitplan und wann ein Zertifikat abläuft. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie eine manuelle Drehung in Azure Key Vault.
Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheitsüberprüfung. Stattdessen können Sie öffentliche signierte Zertifikate in Azure Key Vault erstellen. Die folgenden Zertifizierungsstellen (Certificate Authorities, CAs) sind die Partneranbieter, die derzeit in Azure Key Vault integriert sind.
- DigiCert: Azure Key Vault bietet OV-TLS-/SSL-Zertifikate mit DigiCert.
- GlobalSign: Azure Key Vault bietet OV-TSL-/SSL-Zertifikate mit GlobalSign.
Hinweis: Verwenden Sie nur genehmigte Zertifizierungsstelle, und stellen Sie sicher, dass bekannte fehlerhafte Stamm-/Zwischenzertifikate deaktiviert sind, die von diesen Zertifizierungsstellen ausgestellt wurden.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie AWS Certificate Manager (ACM), um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Drehung, Sperrung, Speicher und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Drehung des Zertifikats in ACM und unterstützte AWS-Dienste basierend auf dem definierten Zeitplan und wann ein Zertifikat abläuft. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie die manuelle Drehung in ACM. In der Zwischenzeit sollten Sie ihren Zertifikatverlängerungsstatus immer nachverfolgen, um die Gültigkeit des Zertifikats sicherzustellen.
Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheitsüberprüfung. Erstellen Sie stattdessen öffentliche signierte Zertifikate (signiert von der Amazon-Zertifizierungsstelle) in ACM, und stellen Sie sie programmgesteuert in Diensten wie CloudFront, Load Balancers, API Gateway usw. bereit. Sie können auch ACM verwenden, um Ihre private Zertifizierungsstelle (CA) einzurichten, um die privaten Zertifikate zu signieren.
Hinweis: Verwenden Sie nur eine genehmigte Zertifizierungsstelle, und stellen Sie sicher, dass bekannte fehlerhafte Zertifizierungsstellenstamm-/Zwischenzertifikate, die von diesen Zertifizierungsstellen ausgestellt wurden, deaktiviert sind.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie den Google Cloud Certificate Manager, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Drehung, Sperrung, Speicher und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Drehung des Zertifikats im Zertifikat-Manager und unterstützte GCP-Dienste basierend auf dem definierten Zeitplan und wann ein Zertifikat abläuft. Wenn die automatische Drehung in der Front-End-Anwendung nicht unterstützt wird, verwenden Sie die manuelle Drehung im Zertifikat-Manager. In der Zwischenzeit sollten Sie ihren Zertifikatverlängerungsstatus immer nachverfolgen, um die Gültigkeit des Zertifikats sicherzustellen.
Vermeiden Sie die Verwendung eines selbstsignierten Zertifikats und eines Wildcardzertifikats in Ihren kritischen Diensten aufgrund der eingeschränkten Sicherheitsüberprüfung. Stattdessen können Sie signierte öffentliche Zertifikate im Zertifikat-Manager erstellen und programmgesteuert in Diensten wie Load Balancer und Cloud DNS usw. bereitstellen. Sie können auch den Zertifizierungsstellendienst verwenden, um Ihre private Zertifizierungsstelle (Ca) einzurichten, um die privaten Zertifikate zu signieren.
Hinweis: Sie können auch den Google Cloud Secret Manager verwenden, um TLS-Zertifikate zu speichern.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
DP-8: Sicherstellen der Sicherheit des Schlüssel- und Zertifikatrepositorys
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/V | IA-5, SC-12, SC-17 | 3.6 |
Sicherheitsprinzip: Stellen Sie sicher, dass der Schlüsseltresordienst für die Verwaltung des kryptografischen Schlüssels und des Zertifikatlebenszyklus verwendet wird. Verstärken Sie Ihren Schlüsseltresordienst durch Zugriffssteuerung, Netzwerksicherheit, Protokollierung, Überwachung und Sicherung, um sicherzustellen, dass Schlüssel und Zertifikate immer mit der maximalen Sicherheit geschützt werden.
Azure-Leitfaden: Sichern Sie Ihre kryptografischen Schlüssel und Zertifikate, indem Sie Ihren Azure Key Vault-Dienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von RBAC-Richtlinien in Azure Key Vault Managed HSM auf der schlüsselbasierten Ebene, um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung der Aufgaben für Benutzer erfolgt, die Verschlüsselungsschlüssel verwalten, sodass sie nicht in der Lage sind, auf verschlüsselte Daten zuzugreifen, und umgekehrt. Erstellen Sie für Azure Key Vault Standard und Premium eindeutige Tresore für verschiedene Anwendungen, um sicherzustellen, dass die geringsten Berechtigungen und Trennungen von Aufgabenprinzipien eingehalten werden.
- Aktivieren Sie die Azure Key Vault-Protokollierung, um sicherzustellen, dass wichtige Verwaltungsebenen- und Datenebenenaktivitäten protokolliert werden.
- Sichern sie den Azure Key Vault mithilfe von privatem Link und der Azure-Firewall, um eine minimale Gefährdung des Diensts sicherzustellen.
- Verwenden Sie verwaltete Identität, um auf in Azure Key Vault gespeicherte Schlüssel in Ihren Workloadanwendungen zuzugreifen.
- Stellen Sie beim endgültigen Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die eigentlichen Daten, Sicherungen und Archive gelöscht wurden.
- Sichern Sie Ihre Schlüssel und Zertifikate mithilfe von Azure Key Vault. Aktivieren Sie den Schutz vor vorläufigem Löschen und Löschen, um versehentliche Löschungen von Schlüsseln zu vermeiden. Wenn Schlüssel gelöscht werden müssen, sollten Sie Schlüssel deaktivieren, anstatt sie zu löschen, um versehentliches Löschen von Schlüsseln und kryptografischer Löschung von Daten zu vermeiden.
- Um Ihre eigenen Schlüssel (BYOK)-Anwendungsfälle mitzubringen, generieren Sie Schlüssel in einem lokalen HSM, und importieren Sie sie, um die Lebensdauer und Portabilität der Schlüssel zu maximieren.
- Speichern Sie Schlüssel niemals im Nur-Text-Format außerhalb des Azure Key Vault. Schlüssel in allen Schlüsseltresordiensten können nicht standardmäßig exportiert werden.
- Verwenden Sie HSM-gesicherte Schlüsseltypen (RSA-HSM) in Azure Key Vault Premium und Azure Managed HSM für den Hardwareschutz und die stärksten FIPS-Ebenen.
Aktivieren Sie Microsoft Defender für Key Vault für Azure-nativen, erweiterten Bedrohungsschutz für Azure Key Vault, wodurch eine zusätzliche Ebene von Security Intelligence bereitgestellt wird.
Azure-Implementierung und zusätzlicher Kontext:
- Was ist der Azure-Schlüsseltresor?
- Bewährte Azure Key Vault-Sicherheitsmethoden
- Verwenden einer verwalteten Identität für den Zugriff auf Azure Key Vault
- Übersicht über Microsoft Defender für Key Vault
AWS-Leitfaden: Für die Sicherheit kryptografischer Schlüssel sichern Sie Ihre Schlüssel, indem Sie Ihren AWS-Schlüsselverwaltungsdienst (KMS)-Dienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von Schlüsselrichtlinien (Zugriffssteuerung auf Schlüsselebene) in Verbindung mit DEN IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die geringsten Berechtigungen und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung der Aufgaben für Benutzer erfolgt, die Verschlüsselungsschlüssel verwalten, sodass sie nicht in der Lage sind, auf verschlüsselte Daten zuzugreifen, und umgekehrt.
- Verwenden Sie Detektivsteuerelemente wie CloudTrails, um die Verwendung von Schlüsseln in KMS zu protokollieren und zu verfolgen und Sie bei kritischen Aktionen zu benachrichtigen.
- Speichern Sie Schlüssel niemals im Nur-Text-Format außerhalb von KMS.
- Wenn Schlüssel gelöscht werden müssen, sollten Sie schlüssel in KMS deaktivieren, anstatt sie zu löschen, um versehentliches Löschen von Schlüsseln und kryptografischer Löschung von Daten zu vermeiden.
- Stellen Sie beim endgültigen Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die eigentlichen Daten, Sicherungen und Archive gelöscht wurden.
- Um Ihren eigenen Schlüssel (BYOK) zu verwenden, generieren Sie Schlüssel in einem lokalen HSM, und importieren Sie sie, um die Lebensdauer und Portabilität der Schlüssel zu maximieren.
Sichern Sie Ihre Zertifikate für die Sicherheit von Zertifikaten, indem Sie Ihren AWS Certificate Manager (ACM)-Dienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von Richtlinien auf Ressourcenebene in Verbindung mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung von Aufgaben für Benutzerkonten vorhanden ist: Benutzerkonten, die Zertifikate generieren, sind von den Benutzerkonten getrennt, die nur schreibgeschützten Zugriff auf Zertifikate erfordern.
- Verwenden Sie Detektivsteuerelemente wie CloudTrails, um die Verwendung der Zertifikate in ACM zu protokollieren und nachzuverfolgen und Sie bei kritischen Aktionen zu benachrichtigen.
- Befolgen Sie die KMS-Sicherheitsanleitungen, um Ihren privaten Schlüssel (generiert für Zertifikatanforderung) zu schützen, der für die Integration von Dienstzertifikaten verwendet wird.
AWS-Implementierung und zusätzlicher Kontext:
- Bewährte Methoden für sicherheit für AWS-Schlüsselverwaltungsdienst
- Sicherheit im AWS-Zertifikat-Manager
GCP-Richtlinien: Sichern Sie Ihre Schlüssel für die Sicherheit kryptografischer Schlüssel, indem Sie Ihre Schlüsselverwaltungsdienst über die folgenden Steuerelemente härten:
- Implementieren Sie die Zugriffssteuerung mithilfe von IAM-Rollen, um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung der Aufgaben für Benutzer erfolgt, die Verschlüsselungsschlüssel verwalten, sodass sie nicht in der Lage sind, auf verschlüsselte Daten zuzugreifen, und umgekehrt.
- Erstellen Sie für jedes Projekt einen separaten Schlüsselring, mit dem Sie den Zugriff auf die Schlüssel nach den am wenigsten bewährten Methoden verwalten und steuern können. Außerdem ist es einfacher, zu überwachen, wer wann auf welche Schlüssel zugreifen kann.
- Aktivieren Sie die automatische Drehung von Schlüsseln, um sicherzustellen, dass Schlüssel regelmäßig aktualisiert und aktualisiert werden. Dies trägt zum Schutz vor potenziellen Sicherheitsbedrohungen wie Brute-Force-Angriffen oder böswilligen Akteuren bei, die versuchen, Zugriff auf vertrauliche Informationen zu erhalten.
- Richten Sie eine Überwachungsprotokollsenke ein, um alle Aktivitäten nachzuverfolgen, die in ihrer GCP KMS-Umgebung auftreten.
Sichern Sie Ihre Zertifikate für die Sicherheit von Zertifikaten, indem Sie Ihren GCP-Zertifikat-Manager und den Zertifizierungsstellendienst über die folgenden Steuerelemente schützen:
- Implementieren Sie die Zugriffssteuerung mithilfe von Richtlinien auf Ressourcenebene in Verbindung mit IAM-Richtlinien (identitätsbasierte Zugriffssteuerung), um sicherzustellen, dass die geringste Berechtigung und Trennung von Aufgabenprinzipien eingehalten werden. Stellen Sie beispielsweise sicher, dass die Trennung von Aufgaben für Benutzerkonten vorhanden ist: Benutzerkonten, die Zertifikate generieren, sind von den Benutzerkonten getrennt, die nur schreibgeschützten Zugriff auf Zertifikate erfordern.
- Verwenden Sie detektive Steuerelemente wie Cloudüberwachungsprotokolle, um die Verwendung der Zertifikate im Zertifikat-Manager zu protokollieren und nachzuverfolgen und Sie bei kritischen Aktionen zu benachrichtigen.
- Der geheime Manager unterstützt auch den Speicher des TLS-Zertifikats. Sie müssen der ähnlichen Sicherheitspraxis folgen, um die Sicherheitskontrollen im Geheimen Manager zu implementieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):