Delen via

Beveiligingsbeheer: gegevensbeveiliging

  • Artikel

Gegevensbescherming omvat het beheer van data-at-rest, in transit en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutelbeheer en certificaatbeheer.|

DP-1: Gevoelige gegevens detecteren, classificeren en labelen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Beveiligingsprincipe: stel een inventarisatie van de gevoelige gegevens vast en onderhoud deze op basis van het gedefinieerde bereik van gevoelige gegevens. Gebruik hulpprogramma's om gevoelige gegevens binnen het bereik te detecteren, classificeren en labelen.

Azure-richtlijnen: Gebruik hulpprogramma's zoals Microsoft Purview, waarin de voormalige Azure Purview- en Microsoft 365-nalevingsoplossingen worden gecombineerd, en Azure SQL Data Discovery en -classificatie om de gevoelige gegevens die zich in Azure, on-premises, Microsoft 365 en andere locaties bevinden centraal te scannen, classificeren en labelen.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: Repliceer uw gegevens van verschillende bronnen naar een S3-opslagbucket en gebruik AWS Macie om de gevoelige gegevens te scannen, classificeren en labelen die zijn opgeslagen in de bucket. AWS Macie kan gevoelige gegevens detecteren, zoals beveiligingsreferenties, financiële informatie, PHI- en PII-gegevens of een ander gegevenspatroon op basis van de aangepaste gegevens-id-regels.

U kunt ook de Azure Purview multi-cloud scanconnector gebruiken om gevoelige gegevens in een S3-opslagbucket te scannen, classificeren en labelen.

Opmerking: U kunt ook bedrijfsoplossingen van derden van AWS Marketplace gebruiken voor gegevensdetectieclassificatie en -labels.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: gebruik hulpprogramma's zoals Google Cloud Data Loss Prevention om de gevoelige gegevens die zich in de GCP- en on-premises omgevingen bevinden centraal te scannen, classificeren en labelen.

Gebruik daarnaast Google Cloud Data Catalog om de resultaten van een DLP-scan (Cloud Data Loss Prevention) te gebruiken om gevoelige gegevens te identificeren met tagsjablonen die zijn gedefinieerd.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.13 AC-4, SI-4 A3.2

Beveiligingsprincipe: bewaken op afwijkingen rond gevoelige gegevens, zoals niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van ondernemingen. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.

Azure-richtlijnen: Azure Information Protection (AIP) gebruiken om de gegevens te bewaken die zijn geclassificeerd en gelabeld.

Gebruik Microsoft Defender voor Storage, Microsoft Defender voor SQL, Microsoft Defender voor opensource-relationele databases en Microsoft Defender voor Cosmos DB om te waarschuwen over afwijkende overdracht van informatie die kan duiden op onbevoegde overdracht van gevoelige gegevens.

Opmerking: Indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om rechercheur en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: GEBRUIK AWS Macie om de gegevens te bewaken die zijn geclassificeerd en gelabeld, en gebruik GuardDuty om afwijkende activiteiten op sommige resources (S3, EC2- of Kubernetes- of IAM-resources) te detecteren. Bevindingen en waarschuwingen kunnen worden gesorteerd, geanalyseerd en bijgehouden met behulp van EventBridge en doorgestuurd naar Microsoft Sentinel of Security Hub voor aggregatie en tracering van incidenten.

U kunt uw AWS-accounts ook verbinden met Microsoft Defender voor Cloud voor nalevingscontroles, containerbeveiliging en eindpuntbeveiligingsmogelijkheden.

Opmerking: Indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing van AWS Marketplace gebruiken.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Gebruik Google Cloud Security Command Center/Event Threat Detection/Anomaly Detection om te waarschuwen over afwijkende overdracht van informatie die kan duiden op onbevoegde overdracht van gevoelige gegevens.

U kunt uw GCP-accounts ook verbinden met Microsoft Defender voor Cloud voor nalevingscontroles, containerbeveiliging en eindpuntbeveiligingsmogelijkheden.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-3: Gevoelige gegevens versleutelen tijdens overdracht

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Beveiligingsprincipe: beveilig de gegevens die onderweg zijn tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Stel de netwerkgrens en het servicebereik in waarbij gegevens in transitversleuteling verplicht zijn binnen en buiten het netwerk. Hoewel dit optioneel is voor verkeer op privénetwerken, is dit essentieel voor verkeer op externe en openbare netwerken.

Azure-richtlijnen: Veilige overdracht afdwingen in services zoals Azure Storage, waarbij een systeemeigen functie voor gegevensversleuteling in transit is ingebouwd.

Dwing HTTPS af voor webtoepassingsworkloads en -services door ervoor te zorgen dat clients die verbinding maken met uw Azure-resources tls (Transport Layer Security) v1.2 of hoger gebruiken. Gebruik voor extern beheer van VM's SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.

Voor extern beheer van virtuele Azure-machines gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Gebruik voor beveiligde bestandsoverdracht de SFTP/FTPS-service in Azure Storage Blob-, App Service-apps en Functie-apps in plaats van de reguliere FTP-service te gebruiken.

Opmerking: Versleuteling van gegevens in transit is ingeschakeld voor al het Verkeer tussen Azure-datacenters. TLS v1.2 of hoger is standaard ingeschakeld voor de meeste Azure-services. En sommige services zoals Azure Storage en Application Gateway kunnen TLS v1.2 of hoger afdwingen aan de serverzijde.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: Veilige overdracht afdwingen in services zoals Amazon S3, RDS en CloudFront, waarbij een systeemeigen functie voor gegevensversleuteling in transit is ingebouwd.

Dwing HTTPS (zoals in AWS Elastic Load Balancer) af voor workloadwebtoepassingen en -services (aan de serverzijde of clientzijde, of aan beide) door ervoor te zorgen dat clients die verbinding maken met uw AWS-resources TLS v1.2 of hoger gebruiken.

Gebruik voor extern beheer van EC2-exemplaren SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Voor beveiligde bestandsoverdracht gebruikt u de AWS Transfer SFTP- of FTPS-service in plaats van een reguliere FTP-service.

Opmerking: al het netwerkverkeer tussen AWS-datacenters wordt transparant versleuteld op de fysieke laag. Al het verkeer binnen een VPC en tussen gekoppelde VPN's in verschillende regio's wordt transparant versleuteld op de netwerklaag bij het gebruik van ondersteunde Amazon EC2-exemplaartypen. TLS v1.2 of hoger is standaard ingeschakeld voor de meeste AWS-services. En sommige services zoals AWS Load Balancer kunnen TLS v1.2 of hoger aan de serverzijde afdwingen.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Veilige overdracht afdwingen in services zoals Google Cloud Storage, waarbij een systeemeigen functie voor gegevensversleuteling in transit is ingebouwd.

Dwing HTTPS af voor webtoepassingsworkloads en -services, zodat clients die verbinding maken met uw GCP-resources gebruikmaken van TLS (Transport Layer Security) v1.2 of hoger.

Voor extern beheer gebruikt Google Cloud Compute Engine SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Gebruik voor beveiligde bestandsoverdracht de SFTP/FTPS-service in services zoals Google Cloud Big Query of Cloud App Engine in plaats van een reguliere FTP-service.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-4: Gegevens-at-rest-versleuteling standaard inschakelen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.11 SC-28 3.4, 3.5

Beveiligingsprincipe: Om toegangsbeheer aan te vullen, moeten data-at-rest worden beveiligd tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure-richtlijnen: voor veel Azure-services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuurlaag met behulp van een door de service beheerde sleutel. Deze door de service beheerde sleutels worden namens de klant gegenereerd en elke twee jaar automatisch geroteerd.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de Azure-services of in uw VM's op opslagniveau, bestandsniveau of databaseniveau.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: voor veel AWS-services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuur-/platformlaag met behulp van een door AWS beheerde hoofdsleutel van de klant. Deze door AWS beheerde hoofdsleutels voor klanten worden namens de klant gegenereerd en automatisch om de drie jaar geroteerd.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de AWS-services of in uw VM's op opslagniveau, bestandsniveau of databaseniveau.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: voor veel Google Cloud-producten en -services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuurlaag met behulp van een door de service beheerde sleutel. Deze door de service beheerde sleutels worden namens de klant gegenereerd en automatisch gedraaid.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de GCP-services of in uw VM's op opslagniveau, bestandsniveau of databaseniveau.

Opmerking: Raadpleeg het document 'Granulariteit van versleuteling voor Google Cloud-services' voor meer informatie.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Beveiligingsprincipe: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar de door de klant beheerde sleuteloptie nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutels in services.

Azure-richtlijnen: Azure biedt ook een versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde sleutels) voor de meeste services.

Azure Key Vault Standard, Premium en Beheerde HSM zijn systeemeigen geïntegreerd met veel Azure-services voor gebruiksscenario's met door de klant beheerde sleutels. U kunt Azure Key Vault gebruiken om uw sleutel te genereren of uw eigen sleutels te gebruiken.

Het gebruik van de door de klant beheerde sleuteloptie vereist echter extra operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan bestaan uit het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: AWS biedt ook een versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde hoofdsleutel die is opgeslagen in AWS Key Management Service) voor bepaalde services.

AWS Key Management Service (KMS) is systeemeigen geïntegreerd met veel AWS-services voor door de klant beheerde hoofdsleutelgebruiksscenario's van klanten. U kunt AWS Key Management Service (KMS) gebruiken om uw hoofdsleutels te genereren of uw eigen sleutels mee te nemen.

Het gebruik van de door de klant beheerde sleuteloptie vereist echter aanvullende operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan bestaan uit het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Google Cloud biedt een versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde sleutels) voor de meeste services.

Google Cloud Key Management Service (Cloud KMS) is systeemeigen geïntegreerd met veel GCP-services voor door de klant beheerde versleutelingssleutels. Deze sleutels kunnen worden gemaakt en beheerd met Cloud KMS en u slaat de sleutels op als softwaresleutels, in een HSM-cluster of extern. U kunt Cloud KMS gebruiken om uw sleutel te genereren of uw eigen sleutels op te geven (door de klant geleverde versleutelingssleutels).

Het gebruik van de door de klant beheerde sleuteloptie vereist echter aanvullende operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan bestaan uit het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-6: Een beveiligd sleutelbeheerproces gebruiken

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
N.v.t. IA-5, SC-12, SC-28 3,6

Beveiligingsprincipe: documenteer en implementeer een cryptografische sleutelbeheerstandaard, -processen en -procedures voor het beheren van de levenscyclus van uw sleutel. Wanneer er een door de klant beheerde sleutel in de services moet worden gebruikt, gebruikt u een beveiligde sleutelkluisservice voor het genereren, distribueren en opslaan van sleutels. Draai en trek uw sleutels in op basis van de gedefinieerde planning en wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd.

Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder het genereren, distribueren en opslaan van sleutels. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van de gedefinieerde planning en wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd. Een bepaald cryptografisch type en minimale sleutelgrootte vereisen bij het genereren van sleutels.

Wanneer u CMK (Door de klant beheerde sleutel) in de workloadservices of -toepassingen moet gebruiken, moet u de aanbevolen procedures volgen:

  • Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis.
  • Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en worden geïmplementeerd via sleutel-id's in elke service of toepassing.

Als u de levensduur en draagbaarheid van het sleutelmateriaal wilt maximaliseren, brengt u uw eigen sleutel (BYOK) naar de services (d.w.z. het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault). Volg de aanbevolen richtlijn om de sleutelgeneratie en sleuteloverdracht uit te voeren.

Opmerking: Raadpleeg het onderstaande voor het FIPS 140-2-niveau voor Azure Key Vault-typen en het FIPS-nalevings-/validatieniveau.

  • Met software beveiligde sleutels in kluizen (Premium & Standard-SKU's): FIPS 140-2 Level 1
  • Met HSM beveiligde sleutels in kluizen (Premium SKU): FIPS 140-2 Level 2
  • Met HSM beveiligde sleutels in beheerde HSM: FIPS 140-2 Niveau 3

Azure Key Vault Premium maakt gebruik van een gedeelde HSM-infrastructuur in de back-end. Beheerde HSM van Azure Key Vault maakt gebruik van toegewezen, vertrouwelijke service-eindpunten met een toegewezen HSM voor wanneer u een hoger niveau van sleutelbeveiliging nodig hebt.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: GEBRUIK KMS (AWS Key Management Service) om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Draai en trek uw sleutels in KMS en uw service in op basis van het gedefinieerde schema en wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd.

Als er een door de klant beheerde hoofdsleutel moet worden gebruikt in de workloadservices of toepassingen, moet u de aanbevolen procedures volgen:

  • Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw KMS.
  • Zorg ervoor dat sleutels zijn geregistreerd bij KMS en implementeren via IAM-beleid in elke service of toepassing.

Als u de levensduur en draagbaarheid van het belangrijkste materiaal wilt maximaliseren, brengt u uw eigen sleutel (BYOK) naar de services (d.w.z. door HSM beveiligde sleutels van uw on-premises HSM's te importeren in KMS of Cloud HSM). Volg de aanbevolen richtlijn om de sleutelgeneratie en sleuteloverdracht uit te voeren.

Opmerking: AWS KMS maakt gebruik van een gedeelde HSM-infrastructuur in de back-end. Gebruik aangepast sleutelarchief van AWS KMS dat wordt ondersteund door AWS CloudHSM wanneer u uw eigen sleutelarchief en toegewezen HSM's (bijvoorbeeld nalevingsvereisten voor regelgeving voor een hoger niveau van sleutelbeveiliging) moet beheren om uw versleutelingssleutels te genereren en op te slaan.

Opmerking: Raadpleeg het onderstaande voor het FIPS 140-2-niveau voor FIPS-nalevingsniveau in AWS KMS en CloudHSM:

  • AWS KMS-standaard: FIPS 140-2 Niveau 2 gevalideerd
  • AWS KMS met Behulp van CloudHSM: FIPS 140-2 Level 3 (voor bepaalde services) gevalideerd
  • AWS CloudHSM: FIPS 140-2 Niveau 3 gevalideerd

Opmerking: gebruik AWS Secrets Manager voor geheimenbeheer (referenties, wachtwoord, API-sleutels, enzovoort).

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Cloud Key Management Service (Cloud KMS) gebruiken om levenscycluss van versleutelingssleutels te maken en te beheren in compatibele Google Cloud-services en in uw workloadtoepassingen. Draai en trek uw sleutels in Cloud KMS en uw service in op basis van het gedefinieerde schema en wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd.

Gebruik de Cloud HSM-service van Google om door hardware ondersteunde sleutels te bieden aan Cloud KMS (Key Management Service) Het biedt u de mogelijkheid om uw eigen cryptografische sleutels te beheren en te gebruiken terwijl deze worden beveiligd door volledig beheerde HSM (Hardware Security Modules).

De Cloud HSM-service maakt gebruik van HSM's, die FIPS 140-2 Level 3-gevalideerd zijn en altijd worden uitgevoerd in de FIPS-modus. FIPS 140-2 Niveau 3-gevalideerd en worden altijd uitgevoerd in de FIPS-modus. FIPS-standaard specificeert de cryptografische algoritmen en het genereren van willekeurige getallen die door de HSM's worden gebruikt.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-7: Een beveiligd certificaatbeheerproces gebruiken

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
N.v.t. IA-5, SC-12, SC-17 3,6

Beveiligingsprincipe: documenteer en implementeer een standaard voor bedrijfscertificaatbeheer, processen en procedures die het levenscyclusbeheer van het certificaat omvatten en certificaatbeleid (als er een openbare-sleutelinfrastructuur nodig is).

Zorg ervoor dat certificaten die door de kritieke services in uw organisatie worden gebruikt, tijdig worden geïnventariseerd, bijgehouden, bewaakt en vernieuwd met behulp van geautomatiseerd mechanisme om serviceonderbreking te voorkomen.

Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken/importeren, rouleren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van het certificaat voldoet aan de gedefinieerde standaard zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat in Azure Key Vault en ondersteunde Azure-services instellen op basis van de gedefinieerde planning en wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-endtoepassing, gebruikt u een handmatige rotatie in Azure Key Vault.

Vermijd het gebruik van een zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiliging. In plaats daarvan kunt u openbare ondertekende certificaten maken in Azure Key Vault. De volgende certificeringsinstanties (CA's) zijn de partnerproviders die momenteel zijn geïntegreerd met Azure Key Vault.

  • DigiCert: Azure Key Vault biedt OV TLS/SSL-certificaten met DigiCert.
  • GlobalSign: Azure Key Vault biedt OV TLS/SSL-certificaten met GlobalSign.

Opmerking: Gebruik alleen goedgekeurde CA en zorg ervoor dat bekende ongeldige basis-/tussencertificaten die zijn uitgegeven door deze CA's zijn uitgeschakeld.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: AWS Certificate Manager (ACM) gebruiken om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken/importeren, rouleren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van het certificaat voldoet aan de gedefinieerde standaard zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat in ACM en ondersteunde AWS-services instellen op basis van de gedefinieerde planning en wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-endtoepassing, gebruikt u handmatige rotatie in ACM. Ondertussen moet u altijd de status van de certificaatvernieuwing bijhouden om de geldigheid van het certificaat te garanderen.

Vermijd het gebruik van een zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiliging. Maak in plaats daarvan openbaar ondertekende certificaten (ondertekend door de Amazon Certificate Authority) in ACM en implementeer deze programmatisch in services zoals CloudFront, Load Balancers, API Gateway, enzovoort. U kunt ACM ook gebruiken om uw persoonlijke certificeringsinstantie (CA) tot stand te brengen om de persoonlijke certificaten te ondertekenen.

Opmerking: Gebruik alleen een goedgekeurde CA en zorg ervoor dat bekende ongeldige CA-basiscertificaten/tussenliggende certificaten die door deze CA's zijn uitgegeven, zijn uitgeschakeld.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Gebruik Google Cloud Certificate Manager om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken/importeren, rouleren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van het certificaat voldoet aan de gedefinieerde standaard zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat in Certificate Manager en ondersteunde GCP-services instellen op basis van de gedefinieerde planning en wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-endtoepassing, gebruikt u handmatige rotatie in Certificate Manager. Ondertussen moet u altijd de status van de certificaatvernieuwing bijhouden om de geldigheid van het certificaat te garanderen.

Vermijd het gebruik van een zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiliging. In plaats daarvan kunt u ondertekende openbare certificaten maken in Certificate Manager en deze programmatisch implementeren in services zoals Load Balancer en Cloud DNS, enzovoort. U kunt ook de certificeringsinstantieservice gebruiken om uw persoonlijke certificeringsinstantie (CA) tot stand te brengen om de persoonlijke certificaten te ondertekenen.

Opmerking: U kunt Google Cloud Secret Manager ook gebruiken om TLS-certificaten op te slaan.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-8: Beveiliging van sleutel- en certificaatopslagplaats garanderen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
N.v.t. IA-5, SC-12, SC-17 3,6

Beveiligingsprincipe: zorg voor de beveiliging van de sleutelkluisservice die wordt gebruikt voor het beheer van de cryptografische sleutel en het levenscyclusbeheer van certificaten. Beveilig uw sleutelkluisservice via toegangsbeheer, netwerkbeveiliging, logboekregistratie en bewaking en back-up om ervoor te zorgen dat sleutels en certificaten altijd worden beveiligd met de maximale beveiliging.

Azure-richtlijnen: beveilig uw cryptografische sleutels en certificaten door uw Azure Key Vault-service te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van RBAC-beleid in Azure Key Vault Managed HSM op sleutelniveau om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat scheiding van taken is ingesteld voor gebruikers die versleutelingssleutels beheren, zodat ze geen toegang hebben tot versleutelde gegevens en omgekeerd. Voor Azure Key Vault Standard en Premium maakt u unieke kluizen voor verschillende toepassingen om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd.
  • Schakel Azure Key Vault-logboekregistratie in om ervoor te zorgen dat kritieke beheervlak- en gegevensvlakactiviteiten worden vastgelegd.
  • De Azure Key Vault beveiligen met Behulp van Private Link en Azure Firewall om minimale blootstelling van de service te garanderen
  • Gebruik beheerde identiteit voor toegang tot sleutels die zijn opgeslagen in Azure Key Vault in uw workloadtoepassingen.
  • Wanneer u gegevens opschoont, moet u ervoor zorgen dat uw sleutels niet worden verwijderd voordat de werkelijke gegevens, back-ups en archieven worden opgeschoond.
  • Maak een back-up van uw sleutels en certificaten met behulp van Azure Key Vault. Schakel voorlopig verwijderen en opschonen in om onbedoelde verwijdering van sleutels te voorkomen. Wanneer sleutels moeten worden verwijderd, kunt u overwegen sleutels uit te schakelen in plaats van ze te verwijderen om onbedoelde verwijdering van sleutels en cryptografische verwijdering van gegevens te voorkomen.
  • Voor BYOK-gebruiksvoorbeelden (Bring Your Own Key) genereert u sleutels in een on-premises HSM en importeert u deze om de levensduur en draagbaarheid van de sleutels te maximaliseren.
  • Sla sleutels nooit op in tekst zonder opmaak buiten De Azure Key Vault. Sleutels in alle key vault-services kunnen niet standaard worden geëxporteerd.
  • Gebruik HSM-ondersteunde sleuteltypen (RSA-HSM) in Azure Key Vault Premium en Azure Managed HSM voor de hardwarebeveiliging en de sterkste FIPS-niveaus.

Schakel Microsoft Defender voor Key Vault in voor Azure-eigen, geavanceerde bedreigingsbeveiliging voor Azure Key Vault, met een extra laag beveiligingsintelligentie.

Azure-implementatie en aanvullende context:

AWS-richtlijnen: Beveilig uw sleutels voor beveiliging van cryptografische sleutels door uw KMS-service (AWS Key Management Service) te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van sleutelbeleid (toegangsbeheer op sleutelniveau) in combinatie met IAM-beleid (op identiteit gebaseerd toegangsbeheer) om ervoor te zorgen dat de beginselen voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat scheiding van taken is ingesteld voor gebruikers die versleutelingssleutels beheren, zodat ze geen toegang hebben tot versleutelde gegevens en omgekeerd.
  • Gebruik detectivebesturingselementen zoals CloudTrails om het gebruik van sleutels in KMS te registreren en bij te houden en u te waarschuwen voor kritieke acties.
  • Sla sleutels nooit op in tekst zonder opmaak buiten KMS.
  • Wanneer sleutels moeten worden verwijderd, kunt u overwegen om sleutels in KMS uit te schakelen in plaats van ze te verwijderen om onbedoelde verwijdering van sleutels en cryptografische verwijdering van gegevens te voorkomen.
  • Wanneer u gegevens opschoont, moet u ervoor zorgen dat uw sleutels niet worden verwijderd voordat de werkelijke gegevens, back-ups en archieven worden opgeschoond.
  • Voor BYOK (Bring Your Own Key) worden cases gebruikt, genereert u sleutels in een on-premises HSM en importeert u deze om de levensduur en draagbaarheid van de sleutels te maximaliseren.

Beveilig uw certificaten voor de beveiliging van certificaten door uw AWS Certificate Manager-service (ACM) te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van beleid op resourceniveau in combinatie met IAM-beleid (op identiteit gebaseerd toegangsbeheer) om ervoor te zorgen dat de beginselen voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat de scheiding van taken is ingesteld voor gebruikersaccounts: gebruikersaccounts die certificaten genereren, zijn gescheiden van de gebruikersaccounts die alleen-lezentoegang tot certificaten vereisen.
  • Gebruik detectivebesturingselementen zoals CloudTrails om het gebruik van de certificaten in ACM te registreren en bij te houden en u te waarschuwen voor kritieke acties.
  • Volg de KMS-beveiligingsrichtlijnen om uw persoonlijke sleutel (gegenereerd voor certificaataanvraag) te beveiligen die wordt gebruikt voor servicecertificaatintegratie.

AWS-implementatie en aanvullende context:

GCP-richtlijnen: Beveilig uw sleutels voor beveiliging van cryptografische sleutels door uw Key Management Service te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van IAM-rollen om ervoor te zorgen dat de principes voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat scheiding van taken is ingesteld voor gebruikers die versleutelingssleutels beheren, zodat ze geen toegang hebben tot versleutelde gegevens en omgekeerd.
  • Maak een afzonderlijke sleutelring voor elk project waarmee u eenvoudig de toegang tot de sleutels kunt beheren en beheren volgens de best practice met minimale bevoegdheden. Het maakt het ook gemakkelijker om te controleren wie toegang heeft tot welke sleutels wanneer.
  • Schakel automatische rotatie van sleutels in om ervoor te zorgen dat sleutels regelmatig worden bijgewerkt en vernieuwd. Dit helpt om te beschermen tegen mogelijke beveiligingsrisico's, zoals beveiligingsaanvallen of kwaadwillende actoren die toegang proberen te krijgen tot gevoelige informatie.
  • Stel een sink voor het auditlogboek in om alle activiteiten in uw GCP KMS-omgeving bij te houden.

Voor beveiliging van certificaten beveiligt u uw certificaten door uw GCP Certificate Manager en Certificate Authority Service te beveiligen via de volgende besturingselementen:

  • Implementeer toegangsbeheer met behulp van beleid op resourceniveau in combinatie met IAM-beleid (op identiteit gebaseerd toegangsbeheer) om ervoor te zorgen dat de beginselen voor minimale bevoegdheden en scheiding van taken worden gevolgd. Zorg er bijvoorbeeld voor dat de scheiding van taken is ingesteld voor gebruikersaccounts: gebruikersaccounts die certificaten genereren, zijn gescheiden van de gebruikersaccounts die alleen-lezentoegang tot certificaten vereisen.
  • Gebruik rechercheurcontroles zoals cloudcontrolelogboeken om het gebruik van de certificaten in Certificate Manager te registreren en bij te houden en u te waarschuwen voor kritieke acties.
  • Secret Manager biedt ook ondersteuning voor opslag van TLS-certificaat. U moet de vergelijkbare beveiligingspraktijk volgen om de beveiligingscontroles in Secret Manager te implementeren.

GCP-implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):