Kontrola zabezpieczeń: ochrona danych

Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, zarządzania kluczami i zarządzania certyfikatami.|

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.2, 3.7, 3.13	RA-2, SC-28	A3.2

Zasada zabezpieczeń: Ustanów i zachowaj spis poufnych danych na podstawie zdefiniowanego zakresu danych poufnych. Użyj narzędzi do odnajdywania, klasyfikowania i etykietowania poufnych danych w zakresie.

---

Wskazówki dotyczące platformy Azure: Korzystanie z narzędzi, takich jak Microsoft Purview, które łączy poprzednie rozwiązania do zapewniania zgodności z usługami Azure Purview i Microsoft 365 oraz Azure SQL Data Discovery and Classification, aby centralnie skanować, klasyfikować i oznaczać poufne dane znajdujące się na platformie Azure, lokalnie, na platformie Microsoft 365 i w innych lokalizacjach.

Implementacja platformy Azure i dodatkowy kontekst:

• Omówienie klasyfikacji danych
• Etykietowanie w Mapa danych w Microsoft Purview
• Tagowanie informacji poufnych przy użyciu usługi Azure Information Protection
• Jak wdrożyć usługę Azure SQL Data Discovery
• Źródła danych usługi Azure Purview

---

Wskazówki dotyczące platformy AWS: Replikowanie danych z różnych źródeł do zasobnika magazynu S3 i używanie narzędzia AWS Macie do skanowania, klasyfikowania i etykietowania poufnych danych przechowywanych w zasobniku. AwS Macie może wykrywać poufne dane, takie jak poświadczenia zabezpieczeń, informacje finansowe, dane PHI i PII lub inny wzorzec danych na podstawie niestandardowych reguł identyfikatorów danych.

Możesz również użyć łącznika skanowania wielochmurowego usługi Azure Purview do skanowania, klasyfikowania i etykietowania poufnych danych znajdujących się w zasobniku magazynu S3.

Uwaga: do celów klasyfikacji i etykietowania odnajdywania danych można również używać rozwiązań innych firm z witryny AWS Marketplace.

Implementacja platformy AWS i dodatkowy kontekst:

• Proces klasyfikacji danych
• AWS Marketplace — rozwiązanie DLP

---

Wskazówki dotyczące platformy GCP: Użyj narzędzi, takich jak ochrona przed utratą danych w chmurze Google, aby centralnie skanować, klasyfikować i oznaczać poufne dane znajdujące się w środowiskach GCP i lokalnych.

Ponadto użyj usługi Google Cloud Data Catalog, aby użyć wyników skanowania ochrony przed utratą danych w chmurze (DLP) w celu zidentyfikowania poufnych danych za pomocą zdefiniowanych szablonów tagów.

Implementacja GCP i dodatkowy kontekst:

• Wykaz danych
• Zapobieganie utracie danych w chmurze

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych
• Zabezpieczenia infrastruktury i punktu końcowego

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.13	AC-4, SI-4	A3.2

Zasada zabezpieczeń: Monitoruj anomalie dotyczące poufnych danych, takich jak nieautoryzowany transfer danych do lokalizacji spoza widoczności i kontroli przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

---

Wskazówki dotyczące platformy Azure: Monitorowanie danych sklasyfikowanych i oznaczonych etykietami za pomocą usługi Azure Information Protection (AIP).

Użyj usługi Microsoft Defender for Storage, Microsoft Defender for SQL, Microsoft Defender dla relacyjnych baz danych typu open source i usługi Microsoft Defender for Cosmos DB, aby otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Uwaga: jeśli jest to wymagane w celu zapewnienia zgodności z zapobieganiem utracie danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z witryny Azure Marketplace lub rozwiązania DLP platformy Microsoft 365 w celu wymuszania mechanizmów kontroli wykrywania i/lub zapobiegania w celu zapobiegania eksfiltracji danych.

Implementacja platformy Azure i dodatkowy kontekst:

• Włączanie usługi Azure Defender for SQL
• Włączanie usługi Azure Defender for Storage
• Włączanie usługi Microsoft Defender dla usługi Azure Cosmos DB
• Włączanie usługi Microsoft Defender dla relacyjnych baz danych typu open source i reagowanie na alerty

---

Wskazówki dotyczące platformy AWS: Monitorowanie danych sklasyfikowanych i oznaczonych etykietami przy użyciu platformy AWS Za pomocą narzędzia GuardDuty można wykrywać nietypowe działania w niektórych zasobach (S3, EC2 lub Kubernetes lub zasoby IAM). Wyniki i alerty mogą być klasyfikowane, analizowane i śledzone przy użyciu rozwiązania EventBridge oraz przekazywane do usługi Microsoft Sentinel lub Security Hub w celu agregacji i śledzenia zdarzeń.

Możesz również połączyć konta platformy AWS z Microsoft Defender dla Chmury na potrzeby kontroli zgodności, zabezpieczeń kontenera i możliwości zabezpieczeń punktu końcowego.

Uwaga: Jeśli jest to wymagane w celu zapewnienia zgodności z zapobieganiem utracie danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z witryny AWS Marketplace.

Implementacja platformy AWS i dodatkowy kontekst:

• Typy wyszukiwania GuardDuty S3
• Ochrona Amazon S3 w usłudze Amazon GuardDuty

---

Wskazówki dotyczące platformy GCP: Użyj centrum poleceń usługi Google Cloud Security/wykrywania zagrożeń zdarzeń/wykrywania anomalii, aby otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Możesz również połączyć konta GCP z Microsoft Defender dla Chmury na potrzeby kontroli zgodności, zabezpieczeń kontenera i możliwości zabezpieczeń punktu końcowego.

Implementacja GCP i dodatkowy kontekst:

• Omówienie wykrywania zagrożeń zdarzeń
• Wykrywanie anomalii przy użyciu analizy przesyłania strumieniowego i sztucznej inteligencji
• Wykrywanie anomalii

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Zabezpieczenia aplikacji i metodyka DevOps
• Zabezpieczenia infrastruktury i punktu końcowego

DP-3: Szyfrowanie poufnych danych podczas przesyłania

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3,10	SC-8	3.5, 3.6, 4.1

Zasada zabezpieczeń: Ochrona danych przesyłanych przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Ustaw granicę sieci i zakres usługi, w którym dane przesyłane są obowiązkowe wewnątrz i poza siecią. Chociaż jest to opcjonalne w przypadku ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych.

---

Wskazówki dotyczące platformy Azure: Wymuszanie bezpiecznego transferu w usługach, takich jak Azure Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.

Wymuś protokół HTTPS dla obciążeń i usług aplikacji internetowych, upewniając się, że wszyscy klienci łączący się z zasobami platformy Azure używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.

W przypadku zdalnego zarządzania maszynami wirtualnymi platformy Azure użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. W celu bezpiecznego transferu plików należy użyć usługi SFTP/FTPS w usłudze Azure Storage Blob, app service apps i Function, zamiast używać zwykłej usługi FTP.

Uwaga: szyfrowanie tranzytowe jest włączone dla całego ruchu platformy Azure przesyłanego między centrami danych platformy Azure. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług platformy Azure. Niektóre usługi, takie jak Azure Storage i Application Gateway, mogą wymuszać protokół TLS w wersji 1.2 lub nowszej po stronie serwera.

Implementacja platformy Azure i dodatkowy kontekst:

• Podwójne szyfrowanie danych platformy Azure podczas przesyłania
• Omówienie szyfrowania podczas przesyłania za pomocą platformy Azure
• Informacje na temat zabezpieczeń protokołu TLS
• Wymuszanie bezpiecznego transferu w usłudze Azure Storage

---

Wskazówki dotyczące platformy AWS: Wymuszanie bezpiecznego transferu w usługach, takich jak Amazon S3, RDS i CloudFront, gdzie wbudowana jest natywna funkcja szyfrowania tranzytowego.

Wymuś protokół HTTPS (na przykład w usłudze AWS Elastic Load Balancer) dla aplikacji internetowej i usług sieci Web obciążeń (po stronie serwera lub po stronie klienta albo po obu stronach), upewniając się, że wszyscy klienci łączący się z zasobami platformy AWS używają protokołu TLS w wersji 1.2 lub nowszej.

W przypadku zdalnego zarządzania wystąpieniami usługi EC2 użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Do bezpiecznego transferu plików należy użyć usługi AWS Transfer SFTP lub FTPS zamiast zwykłej usługi FTP.

Uwaga: cały ruch sieciowy między centrami danych platformy AWS jest niewidocznie szyfrowany w warstwie fizycznej. Cały ruch w ramach VPC i między równorzędnymi sieciami VPN w różnych regionach jest niewidocznie szyfrowany w warstwie sieciowej przy użyciu obsługiwanych typów wystąpień usługi Amazon EC2. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług AWS. Niektóre usługi, takie jak AWS Load Balancer, mogą wymuszać protokół TLS w wersji 1.2 lub nowszej po stronie serwera.

Implementacja platformy AWS i dodatkowy kontekst:

• Zasady zabezpieczeń PROTOKOŁU TLS w elastycznym module równoważenia obciążenia
• AwS Transfer SFTP i FTPS

---

Wskazówki dotyczące platformy GCP: Wymuszanie bezpiecznego transferu w usługach, takich jak Google Cloud Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.

Wymuś protokół HTTPS dla obciążeń i usług aplikacji internetowych, zapewniając, że wszyscy klienci łączący się z zasobami GCP używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej.

Do zdalnego zarządzania Google Cloud Compute Engine użyj protokołu SSH (dla systemu Linux) lub RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. W celu bezpiecznego transferu plików należy użyć usługi SFTP/FTPS w usługach takich jak Google Cloud Big Query lub Cloud App Engine zamiast zwykłej usługi FTP.

Implementacja GCP i dodatkowy kontekst:

• Szyfrowanie podczas transferu
• Szyfrowanie podczas przesyłania w usłudze Google Cloud

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Architektura zabezpieczeń
• Zabezpieczenia infrastruktury i punktu końcowego
• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.11	SC-28	3.4, 3.5

Zasada zabezpieczeń: Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do magazynu bazowego) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

---

Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure ma domyślnie włączone szyfrowanie danych magazynowanych w warstwie infrastruktury przy użyciu klucza zarządzanego przez usługę. Te klucze zarządzane przez usługę są generowane w imieniu klienta i są automatycznie obracane co dwa lata.

Jeśli technicznie możliwe i nie jest włączone domyślnie, można włączyć szyfrowanie danych magazynowanych w usługach platformy Azure lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub bazy danych.

Implementacja platformy Azure i dodatkowy kontekst:

• Informacje o szyfrowaniu danych magazynowanych na platformie Azure
• Podwójne szyfrowanie danych magazynowanych na platformie Azure
• Model szyfrowania i tabela zarządzania kluczami

---

Wskazówki dotyczące platformy AWS: Wiele usług AWS ma domyślnie włączone szyfrowanie danych magazynowanych w warstwie infrastruktury/platformy przy użyciu klucza głównego klienta zarządzanego przez platformę AWS. Te zarządzane przez platformę AWS klucze główne klienta są generowane w imieniu klienta i obracane automatycznie co trzy lata.

Jeśli technicznie możliwe i nie jest włączone domyślnie, można włączyć szyfrowanie danych magazynowanych w usługach AWS lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub bazy danych.

Implementacja platformy AWS i dodatkowy kontekst:

• Ochrona danych magazynowanych na platformie AWS

---

Wskazówki dotyczące platformy GCP: Wiele produktów i usług Google Cloud ma domyślnie włączone szyfrowanie danych magazynowanych w warstwie infrastruktury przy użyciu klucza zarządzanego przez usługę. Te klucze zarządzane przez usługę są generowane w imieniu klienta i są automatycznie obracane.

Jeśli technicznie możliwe i nie jest włączone domyślnie, można włączyć szyfrowanie danych magazynowanych w usługach GCP lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub bazy danych.

Uwaga: zapoznaj się z dokumentem "Stopień szczegółowości szyfrowania dla usług Google Cloud", aby uzyskać więcej informacji.

Implementacja GCP i dodatkowy kontekst:

• Domyślne szyfrowanie magazynowane
• Opcje szyfrowania danych
• Stopień szczegółowości szyfrowania dla usług Google Cloud

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia infrastruktury i punktu końcowego
• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych

DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych magazynowanych, jeśli jest to wymagane

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
3.11	SC-12, SC-28	3.4, 3.5, 3.6

Zasada zabezpieczeń: w razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym jest wymagana opcja klucza zarządzanego przez klienta. Włączanie i implementowanie szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez klienta w usługach.

---

Wskazówki dotyczące platformy Azure: Platforma Azure udostępnia również opcję szyfrowania przy użyciu kluczy zarządzanych przez siebie (kluczy zarządzanych przez klienta) dla większości usług.

Usługa Azure Key Vault w warstwie Standardowa, Premium i zarządzany moduł HSM są natywnie zintegrowane z wieloma usługami platformy Azure na potrzeby przypadków użycia kluczy zarządzanych przez klienta. Możesz użyć usługi Azure Key Vault do wygenerowania klucza lub użycia własnych kluczy.

Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowego nakładu pracy operacyjnej w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.

Implementacja platformy Azure i dodatkowy kontekst:

• Model szyfrowania i tabela zarządzania kluczami
• Usługi obsługujące szyfrowanie przy użyciu klucza zarządzanego przez klienta
• Jak skonfigurować klucze szyfrowania zarządzane przez klienta w usłudze Azure Storage

---

Wskazówki dotyczące platformy AWS: PLATFORMA AWS udostępnia również opcję szyfrowania przy użyciu kluczy zarządzanych przez siebie (klucz główny klienta zarządzany przez klienta przechowywany w usłudze AWS usługa zarządzania kluczami) dla niektórych usług.

Usługa AWS usługa zarządzania kluczami (KMS) jest natywnie zintegrowana z wieloma usługami AWS na potrzeby przypadków użycia klucza głównego klienta zarządzanego przez klienta. Możesz użyć usługi AWS usługa zarządzania kluczami (KMS) do wygenerowania kluczy głównych lub użycia własnych kluczy.

Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowych działań operacyjnych w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.

Implementacja platformy AWS i dodatkowy kontekst:

• Usługi AWS Zintegrowane z usługą AWS KMS
• Zarządzane przez platformy AWS i zarządzane przez klienta pakiety CMKs

---

Wskazówki dotyczące platformy GCP: Usługa Google Cloud udostępnia opcję szyfrowania przy użyciu kluczy zarządzanych przez siebie (kluczy zarządzanych przez klienta) dla większości usług.

Usługa Google Cloud usługa zarządzania kluczami (Cloud KMS) jest natywnie zintegrowana z wieloma usługami GCP dla kluczy szyfrowania zarządzanych przez klienta. Te klucze można tworzyć i zarządzać przy użyciu usługi KMS w chmurze, a klucze są przechowywane jako klucze oprogramowania, w klastrze HSM lub zewnętrznie. Za pomocą usługi KmS w chmurze możesz wygenerować klucz lub dostarczyć własne klucze (klucze szyfrowania dostarczone przez klienta).

Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowych działań operacyjnych w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.

Implementacja GCP i dodatkowy kontekst:

• Domyślne szyfrowanie magazynowane
• Opcje szyfrowania danych
• Klucze szyfrowania zarządzane przez klienta
• Klucz szyfrowania dostarczony przez klienta

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Architektura zabezpieczeń
• Zabezpieczenia infrastruktury i punktu końcowego
• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych

DP-6: Używanie bezpiecznego procesu zarządzania kluczami

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy	IA-5, SC-12, SC-28	3,6

Zasada zabezpieczeń: Dokumentowanie i implementowanie standardu, procesów i procedur zarządzania kluczami kryptograficznymi przedsiębiorstwa w celu kontrolowania cyklu życia klucza. Jeśli w usługach jest konieczne użycie klucza zarządzanego przez klienta, użyj zabezpieczonej usługi magazynu kluczy na potrzeby generowania, dystrybucji i magazynu kluczy. Obracanie i odwoływanie kluczy na podstawie zdefiniowanego harmonogramu oraz po przejściu na emeryturę lub naruszenie klucza.

---

Wskazówki dotyczące platformy Azure: Używanie usługi Azure Key Vault do tworzenia i kontrolowania cyklu życia kluczy szyfrowania, w tym generowania kluczy, dystrybucji i magazynu. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i usłudze na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń. Wymagaj określonego typu kryptograficznego i minimalnego rozmiaru klucza podczas generowania kluczy.

Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) w usługach lub aplikacjach obciążeń, upewnij się, że stosujesz najlepsze rozwiązania:

• Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania klucza (KEK) w magazynie kluczy.
• Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i implementowane za pośrednictwem identyfikatorów kluczy w każdej usłudze lub aplikacji.

Aby zmaksymalizować okres istnienia i przenośność klucza klucza, przeprowadź własny klucz (BYOK) do usług (tj. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault). Postępuj zgodnie z zalecanymi wskazówkami dotyczącymi generowania kluczy i transferu kluczy.

Uwaga: zapoznaj się z poniższymi tematami dotyczącymi poziomu FIPS 140-2 dla typów usługi Azure Key Vault i poziomu zgodności/walidacji ze standardem FIPS.

• Klucze chronione programowo w magazynach (jednostki SKU Premium i Standardowa): FIPS 140-2 Poziom 1
• Klucze chronione przez moduł HSM w magazynach (jednostka SKU Premium): FIPS 140-2 Poziom 2
• Klucze chronione przez moduł HSM w zarządzanym module HSM: FIPS 140-2 Poziom 3

Usługa Azure Key Vault Premium korzysta z udostępnionej infrastruktury HSM w zapleczu. Zarządzany moduł HSM usługi Azure Key Vault używa dedykowanych, poufnych punktów końcowych usługi z dedykowanym modułem HSM, jeśli potrzebujesz wyższego poziomu zabezpieczeń kluczy.

Implementacja platformy Azure i dodatkowy kontekst:

• Omówienie usługi Azure Key Vault
• Szyfrowanie danych platformy Azure w hierarchii magazynowanych kluczy
• Specyfikacja BYOK (Bring Your Own Key)

---

Wskazówki dotyczące platformy AWS: używanie usługi AWS usługa zarządzania kluczami (KMS) do tworzenia i kontrolowania cyklu życia kluczy szyfrowania, w tym generowania kluczy, dystrybucji i magazynu. Obracanie i odwoływanie kluczy w usłudze KMS i usłudze na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń.

Jeśli istnieje potrzeba użycia klucza głównego klienta zarządzanego przez klienta w usługach lub aplikacjach obciążeń, upewnij się, że stosujesz najlepsze rozwiązania:

• Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania klucza (KEK) w usłudze KMS.
• Upewnij się, że klucze są zarejestrowane w usłudze KMS i implementowane za pośrednictwem zasad zarządzania dostępem i tożsamościami w każdej usłudze lub aplikacji.

Aby zmaksymalizować okres istnienia i przenośność klucza klucza, przeprowadź własny klucz (BYOK) do usług (tj. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi KMS lub modułu HSM w chmurze). Postępuj zgodnie z zalecanymi wskazówkami dotyczącymi generowania kluczy i transferu kluczy.

Uwaga: usługa AWS KMS używa współużytkowanej infrastruktury HSM w zapleczu. Użyj niestandardowego magazynu kluczy usługi AWS KMS wspieranego przez usługę AWS CloudHSM, gdy musisz zarządzać własnym magazynem kluczy i dedykowanymi modułami HSM (np. wymaganiami dotyczącymi zgodności z przepisami na wyższym poziomie zabezpieczeń klucza) w celu generowania i przechowywania kluczy szyfrowania.

Uwaga: zapoznaj się z poniższymi tematami dotyczącymi poziomu zgodności ze standardem FIPS 140-2 w usługach AWS KMS i CloudHSM:

• Domyślna usługa AWS KMS: zweryfikowany poziom 2 fiPS 140-2
• Usługa AWS KMS korzystająca z rozwiązania CloudHSM: zweryfikowany standard FIPS 140-2 Poziom 3 (dla niektórych usług)
• AWS CloudHSM: zweryfikowany standard FIPS 140-2 poziom 3

Uwaga: w przypadku zarządzania wpisami tajnymi (poświadczeń, hasła, kluczy interfejsu API itp.) użyj menedżera wpisów tajnych platformy AWS.

Implementacja platformy AWS i dodatkowy kontekst:

• Zarządzane przez platformy AWS i zarządzane przez klienta pakiety CMKs
• Importowanie materiału klucza w kluczach usługi KMS platformy AWS
• Bezpieczny transfer kluczy do usługi CloudHSM
• Tworzenie niestandardowego magazynu kluczy wspieranego przez rozwiązanie CloudHSM

---

Wskazówki dotyczące platformy GCP: Używanie usługi Cloud usługa zarządzania kluczami (Cloud KMS) do tworzenia cykli życia kluczy szyfrowania i zarządzania nimi w zgodnych usługach Google Cloud i w aplikacjach obciążeń. Obracanie i odwoływanie kluczy w usłudze KMS w chmurze oraz usługi na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń.

Usługa HSM w chmurze firmy Google umożliwia dostarczanie kluczy opartych na sprzęcie do usługi KMS w chmurze (usługa zarządzania kluczami) Umożliwia ona zarządzanie własnymi kluczami kryptograficznymi i korzystanie z nich, gdy są chronione przez w pełni zarządzane sprzętowe moduły zabezpieczeń (HSM).

Usługa Cloud HSM używa modułów HSM, które są zweryfikowane przez standard FIPS 140–2 poziom 3 i są zawsze uruchomione w trybie FIPS. Zweryfikowane standard FIPS 140-2 poziom 3 i zawsze działają w trybie FIPS. Standard FIPS określa algorytmy kryptograficzne i generowanie liczb losowych używanych przez moduły HSM.

Implementacja GCP i dodatkowy kontekst:

• Omówienie usługi Cloud usługa zarządzania kluczami
• Klucze szyfrowania zarządzane przez klienta (CMEK)
• Moduł HSM w chmurze

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Architektura zabezpieczeń
• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych

DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy	IA-5, SC-12, SC-17	3,6

Zasada zabezpieczeń: Dokumentowanie i implementowanie standardu zarządzania certyfikatami przedsiębiorstwa, procesów i procedur obejmujących kontrolę cyklu życia certyfikatu oraz zasady certyfikatów (jeśli wymagana jest infrastruktura kluczy publicznych).

Upewnij się, że certyfikaty używane przez usługi krytyczne w organizacji są spisywane, śledzone, monitorowane i odnawiane w odpowiednim czasie przy użyciu zautomatyzowanego mechanizmu, aby uniknąć przerw w działaniu usług.

---

Wskazówki dotyczące platformy Azure: Używanie usługi Azure Key Vault do tworzenia i kontrolowania cyklu życia certyfikatu, w tym tworzenia/importowania, rotacji, odwoływania, przechowywania i przeczyszczania certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanym standardem bez używania żadnych niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i obsługiwane usługi platformy Azure na podstawie zdefiniowanego harmonogramu i czasu wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, użyj ręcznej rotacji w usłudze Azure Key Vault.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolami wieloznacznymi w usługach krytycznych ze względu na ograniczone zabezpieczenie. Zamiast tego możesz utworzyć certyfikaty z podpisem publicznym w usłudze Azure Key Vault. Następujące urzędy certyfikacji to dostawcy partnerów, którzy są obecnie zintegrowani z usługą Azure Key Vault.

• DigiCert: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z firmą DigiCert.
• GlobalSign: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z elementem GlobalSign.

Uwaga: użyj tylko zatwierdzonego urzędu certyfikacji i upewnij się, że znane złe certyfikaty główne/pośrednie wystawione przez te urzędy certyfikacji są wyłączone.

Implementacja platformy Azure i dodatkowy kontekst:

• Wprowadzenie do certyfikatów usługi Key Vault
• Kontrola dostępu do certyfikatów w usłudze Azure Key Vault

---

Wskazówki dotyczące platformy AWS: Użyj Menedżera certyfikatów platformy AWS (ACM), aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie/importowanie, rotację, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanym standardem bez używania żadnych niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w usłudze ACM i obsługiwane usługi AWS na podstawie zdefiniowanego harmonogramu i czasu wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, użyj ręcznego obracania w usłudze ACM. W międzyczasie należy zawsze śledzić stan odnawiania certyfikatu, aby zapewnić ważność certyfikatu.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolami wieloznacznymi w usługach krytycznych ze względu na ograniczone zabezpieczenie. Zamiast tego należy utworzyć certyfikaty z podpisem publicznym (podpisane przez urząd certyfikacji Firmy Amazon) w usłudze ACM i wdrożyć je programowo w usługach takich jak CloudFront, Load Balancers, API Gateway itp. Możesz również użyć usługi ACM, aby ustanowić prywatny urząd certyfikacji w celu podpisania certyfikatów prywatnych.

Uwaga: użyj tylko zatwierdzonego urzędu certyfikacji i upewnij się, że znane złe certyfikaty główne/pośrednie urzędu certyfikacji wystawione przez te urzędy certyfikacji są wyłączone.

Implementacja platformy AWS i dodatkowy kontekst:

• Menedżer certyfikatów platformy AWS — sprawdzanie stanu odnowienia certyfikatu

---

Wskazówki dotyczące platformy GCP: Użyj Menedżera certyfikatów w chmurze Google, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie/importowanie, rotację, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanym standardem bez używania żadnych niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w Menedżerze certyfikatów i obsługiwane usługi GCP na podstawie zdefiniowanego harmonogramu i po wygaśnięciu certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, użyj ręcznej rotacji w Menedżerze certyfikatów. W międzyczasie należy zawsze śledzić stan odnawiania certyfikatu, aby zapewnić ważność certyfikatu.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolami wieloznacznymi w usługach krytycznych ze względu na ograniczone zabezpieczenie. Zamiast tego możesz utworzyć podpisane certyfikaty publiczne w Menedżerze certyfikatów i wdrożyć je programowo w usługach, takich jak Load Balancer i Cloud DNS itp. Możesz również użyć usługi urzędu certyfikacji, aby ustanowić prywatny urząd certyfikacji w celu podpisania certyfikatów prywatnych.

Uwaga: do przechowywania certyfikatów TLS można również użyć usługi Google Cloud Secret Manager.

Implementacja GCP i dodatkowy kontekst:

• Usługa urzędu certyfikacji
• Menedżer certyfikatów

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych

DP-8: Zapewnianie zabezpieczeń klucza i repozytorium certyfikatów

Kontrolki CIS w wersji 8	Identyfikatory NIST SP 800-53 r4	Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy	IA-5, SC-12, SC-17	3,6

Zasada zabezpieczeń: Upewnij się, że zabezpieczenia usługi magazynu kluczy używanej do zarządzania kluczem kryptograficznym i cyklem życia certyfikatu. Wzmacnianie zabezpieczeń usługi magazynu kluczy za pomocą kontroli dostępu, zabezpieczeń sieci, rejestrowania i monitorowania oraz tworzenia kopii zapasowych w celu zapewnienia, że klucze i certyfikaty są zawsze chronione przy użyciu maksymalnego poziomu zabezpieczeń.

---

Wskazówki dotyczące platformy Azure: Zabezpieczanie kluczy kryptograficznych i certyfikatów przez wzmocnienie zabezpieczeń usługi Azure Key Vault za pomocą następujących kontrolek:

• Zaimplementuj kontrolę dostępu przy użyciu zasad kontroli dostępu opartej na rolach w zarządzanym module HSM usługi Azure Key Vault na poziomie klucza, aby zapewnić przestrzeganie najniższych uprawnień i separacji zasad obowiązków. Na przykład należy zapewnić rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, dzięki czemu nie mają możliwości uzyskania dostępu do zaszyfrowanych danych i na odwrót. W przypadku usługi Azure Key Vault w warstwie Standardowa i Premium utwórz unikatowe magazyny dla różnych aplikacji, aby zapewnić przestrzeganie najniższych uprawnień i rozdzielenia zasad obowiązków.
• Włącz rejestrowanie usługi Azure Key Vault, aby upewnić się, że są rejestrowane krytyczne działania płaszczyzny zarządzania i płaszczyzny danych.
• Zabezpieczanie usługi Azure Key Vault przy użyciu usługi Private Link i usługi Azure Firewall w celu zapewnienia minimalnej ekspozycji na usługę
• Użyj tożsamości zarządzanej, aby uzyskać dostęp do kluczy przechowywanych w usłudze Azure Key Vault w aplikacjach obciążeń.
• Podczas przeczyszczania danych upewnij się, że klucze nie są usuwane przed rzeczywistymi danymi, kopie zapasowe i archiwa są czyszczone.
• Utwórz kopię zapasową kluczy i certyfikatów przy użyciu usługi Azure Key Vault. Włącz ochronę przed usuwaniem nietrwałym i przeczyszczaj, aby uniknąć przypadkowego usunięcia kluczy. Jeśli trzeba usunąć klucze, rozważ wyłączenie kluczy zamiast ich usuwania, aby uniknąć przypadkowego usunięcia kluczy i wymazywania danych kryptograficznych.
• W przypadku przypadków użycia byOK (Bring Your Own Key) należy wygenerować klucze w lokalnym module HSM i zaimportować je, aby zmaksymalizować okres istnienia i przenośność kluczy.
• Nigdy nie przechowuj kluczy w formacie zwykłego tekstu poza usługą Azure Key Vault. Klucze we wszystkich usługach magazynu kluczy nie są domyślnie eksportowane.
• Używaj typów kluczy opartych na module HSM (RSA-HSM) w usłudze Azure Key Vault Premium i zarządzanym module HSM platformy Azure na potrzeby ochrony sprzętowej i najsilniejszych poziomów FIPS.

Włącz usługę Microsoft Defender for Key Vault dla natywnej dla platformy Azure zaawansowanej ochrony przed zagrożeniami dla usługi Azure Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń.

Implementacja platformy Azure i dodatkowy kontekst:

• Omówienie usługi Azure Key Vault
• Najlepsze rozwiązania dotyczące zabezpieczeń usługi Azure Key Vault
• Uzyskiwanie dostępu do usługi Azure Key Vault przy użyciu tożsamości zarządzanej
• Omówienie usługi Microsoft Defender for Key Vault

---

Wskazówki dotyczące platformy AWS: W przypadku zabezpieczeń kluczy kryptograficznych należy zabezpieczyć klucze przez wzmocnienie zabezpieczeń usługi AWS usługa zarządzania kluczami (KMS) za pomocą następujących mechanizmów kontroli:

• Zaimplementuj kontrolę dostępu przy użyciu zasad klucza (kontroli dostępu na poziomie klucza) w połączeniu z zasadami zarządzania dostępem i tożsamościami (kontrola dostępu oparta na tożsamościach), aby zapewnić przestrzeganie najniższych uprawnień i rozdzielenia zasad obowiązków. Na przykład należy zapewnić rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, dzięki czemu nie mają możliwości uzyskania dostępu do zaszyfrowanych danych i na odwrót.
• Użyj kontrolek detektywisowych, takich jak CloudTrails, aby rejestrować i śledzić użycie kluczy w usłudze KMS oraz powiadamiać o akcjach krytycznych.
• Nigdy nie przechowuj kluczy w formacie zwykłego tekstu poza kluczami usługi KMS.
• Jeśli trzeba usunąć klucze, rozważ wyłączenie kluczy w usłudze KMS zamiast ich usuwania, aby uniknąć przypadkowego usunięcia kluczy i wymazywania danych kryptograficznych.
• Podczas przeczyszczania danych upewnij się, że klucze nie są usuwane przed rzeczywistymi danymi, kopie zapasowe i archiwa są czyszczone.
• W przypadku przypadków użycia byOK (Bring Your Own Key) należy wygenerować klucze w lokalnym module HSM i zaimportować je, aby zmaksymalizować okres istnienia i przenośność kluczy.

W przypadku zabezpieczeń certyfikatów należy zabezpieczyć certyfikaty przez wzmocnienie zabezpieczeń usługi AWS Certificate Manager (ACM) za pomocą następujących mechanizmów kontroli:

• Zaimplementuj kontrolę dostępu przy użyciu zasad na poziomie zasobów w połączeniu z zasadami zarządzania dostępem i tożsamościami (kontrola dostępu oparta na tożsamościach), aby zapewnić przestrzeganie najniższych uprawnień i rozdzielenia zasad obowiązków. Na przykład upewnij się, że rozdzielenie obowiązków odbywa się dla kont użytkowników: konta użytkowników, które generują certyfikaty, są oddzielone od kont użytkowników, którzy wymagają tylko dostępu tylko do odczytu do certyfikatów.
• Użyj kontrolek detektywis, takich jak CloudTrails, aby rejestrować i śledzić użycie certyfikatów w usłudze ACM oraz ostrzegać o akcjach krytycznych.
• Postępuj zgodnie ze wskazówkami dotyczącymi zabezpieczeń usługi KMS, aby zabezpieczyć klucz prywatny (wygenerowany dla żądania certyfikatu) używany do integracji certyfikatu usługi.

Implementacja platformy AWS i dodatkowy kontekst:

• Najlepsze rozwiązanie w zakresie zabezpieczeń dla usługi AWS usługa zarządzania kluczami
• Zabezpieczenia w Menedżerze certyfikatów platformy AWS

---

Wskazówki dotyczące platformy GCP: W przypadku zabezpieczeń kluczy kryptograficznych należy zabezpieczyć klucze, zabezpieczając usługa zarządzania kluczami za pomocą następujących mechanizmów kontroli:

• Zaimplementuj kontrolę dostępu przy użyciu ról zarządzania dostępem i tożsamościami, aby zapewnić przestrzeganie najniższych uprawnień i rozdzielenia zasad obowiązków. Na przykład należy zapewnić rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, dzięki czemu nie mają możliwości uzyskania dostępu do zaszyfrowanych danych i na odwrót.
• Utwórz oddzielny pierścień kluczy dla każdego projektu, który umożliwia łatwe zarządzanie dostępem do kluczy i kontrolowanie go zgodnie z najlepszymi rozwiązaniami dotyczącymi najniższych uprawnień. Ułatwia to również inspekcję, kto ma dostęp do jakich kluczy w momencie.
• Włącz automatyczną rotację kluczy, aby upewnić się, że klucze są regularnie aktualizowane i odświeżane. Pomaga to chronić przed potencjalnymi zagrożeniami bezpieczeństwa, takimi jak ataki siłowe lub złośliwe podmioty próbujące uzyskać dostęp do poufnych informacji.
• Skonfiguruj ujście dziennika inspekcji, aby śledzić wszystkie działania wykonywane w środowisku usługi KMS GCP.

W przypadku zabezpieczeń certyfikatów należy zabezpieczyć certyfikaty przez wzmocnienie zabezpieczeń menedżera certyfikatów GCP i usługi urzędu certyfikacji za pomocą następujących mechanizmów kontroli:

• Zaimplementuj kontrolę dostępu przy użyciu zasad na poziomie zasobów w połączeniu z zasadami zarządzania dostępem i tożsamościami (kontrola dostępu oparta na tożsamościach), aby zapewnić przestrzeganie najniższych uprawnień i rozdzielenia zasad obowiązków. Na przykład upewnij się, że rozdzielenie obowiązków odbywa się dla kont użytkowników: konta użytkowników, które generują certyfikaty, są oddzielone od kont użytkowników, którzy wymagają tylko dostępu tylko do odczytu do certyfikatów.
• Użyj kontrolek detektywisyjnych, takich jak dzienniki inspekcji w chmurze, aby rejestrować i śledzić użycie certyfikatów w Menedżerze certyfikatów oraz ostrzegać o akcjach krytycznych.
• Menedżer wpisów tajnych obsługuje również przechowywanie certyfikatu TLS. Aby zaimplementować mechanizmy kontroli zabezpieczeń w usłudze Secret Manager, należy postępować zgodnie z podobną praktyką w zakresie zabezpieczeń.

Implementacja GCP i dodatkowy kontekst:

• Mechanizmy kontroli dostępu usługa zarządzania kluczami w chmurze
• Menedżer certyfikatów

---

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Architektura zabezpieczeń
• Zabezpieczenia aplikacji i metodyka DevOps
• Bezpieczeństwo danych