Säkerhetskontroll: Dataskydd
Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckelhantering och certifikathantering.|
DP-1: Identifiera, klassificera och märka känsliga data
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Säkerhetsprincip: Upprätta och underhålla en inventering av känsliga data baserat på det definierade omfånget för känsliga data. Använd verktyg för att identifiera, klassificera och märka känsliga data i omfånget.
Azure-vägledning: Använd verktyg som Microsoft Purview, som kombinerar de tidigare Azure Purview- och Microsoft 365-efterlevnadslösningarna, och Azure SQL Data Discovery and Classification för att centralt genomsöka, klassificera och märka känsliga data som finns på Azure, lokalt, Microsoft 365 och andra platser.
Azure-implementering och ytterligare kontext:
- Översikt över dataklassificering
- Etikettering i Datamappning i Microsoft Purview
- Tagga känslig information med Azure Information Protection
- Så här implementerar du identifiering av Azure SQL-data
- Azure Purview-datakällor
AWS-vägledning: Replikera dina data från olika källor till en S3-lagringshink och använd AWS Macie för att skanna, klassificera och märka känsliga data som lagras i bucketen. AWS Macie kan identifiera känsliga data som säkerhetsautentiseringsuppgifter, finansiell information, PHI- och PII-data eller andra datamönster baserat på reglerna för anpassade dataidentifierare.
Du kan också använda Azure Purview-anslutningsprogrammet för genomsökning i flera moln för att skanna, klassificera och märka känsliga data som finns i en S3-lagringshink.
Obs! Du kan också använda företagslösningar från tredje part från AWS Marketplace för klassificering och etikettering av dataidentifiering.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd verktyg som Google Cloud Data Loss Prevention för att centralt genomsöka, klassificera och märka känsliga data som finns i GCP och lokala miljöer.
Använd dessutom Google Cloud Data Catalog för att använda resultatet av en DLP-genomsökning (Cloud Data Loss Prevention) för att identifiera känsliga data med definierade taggmallar.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
DP-2: Övervaka avvikelser och hot mot känsliga data
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
3.13 | AC-4, SI-4 | A3.2 |
Säkerhetsprincip: Övervaka avvikelser kring känsliga data, till exempel obehörig överföring av data till platser utanför företagets synlighet och kontroll. Detta omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.
Azure-vägledning: Använd Azure Information Protection (AIP) för att övervaka de data som har klassificerats och märkts.
Använd Microsoft Defender för Storage, Microsoft Defender för SQL, Microsoft Defender för relationsdatabaser med öppen källkod och Microsoft Defender för Cosmos DB för att varna om avvikande överföring av information som kan tyda på obehöriga överföringar av känslig datainformation.
Obs! Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en värdbaserad DLP-lösning från Azure Marketplace eller en Microsoft 365 DLP-lösning för att framtvinga detektiv- och/eller förebyggande kontroller för att förhindra dataexfiltrering.
Azure-implementering och ytterligare kontext:
- Aktivera Azure Defender för SQL
- Aktivera Azure Defender för Storage
- Aktivera Microsoft Defender för Azure Cosmos DB
- Aktivera Microsoft Defender för relationsdatabaser med öppen källkod och svara på aviseringar
AWS-vägledning: Använd AWS Macie för att övervaka data som har klassificerats och märkts och använda GuardDuty för att identifiera avvikande aktiviteter på vissa resurser (S3, EC2, Kubernetes eller IAM-resurser). Resultat och aviseringar kan sorteras, analyseras och spåras med EventBridge och vidarebefordras till Microsoft Sentinel eller Security Hub för incidentaggregering och spårning.
Du kan också ansluta dina AWS-konton till Microsoft Defender för molnet för efterlevnadskontroller, containersäkerhet och slutpunktssäkerhetsfunktioner.
Obs! Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en värdbaserad DLP-lösning från AWS Marketplace.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud Security Command Center/Händelsehotidentifiering/Avvikelseidentifiering för att varna om avvikande överföring av information som kan tyda på obehörig överföring av känslig datainformation.
Du kan också ansluta dina GCP-konton till Microsoft Defender för molnet för efterlevnadskontroller, containersäkerhet och slutpunktssäkerhetsfunktioner.
GCP-implementering och ytterligare kontext:
- Översikt över identifiering av händelsehot
- Avvikelseidentifiering med strömningsanalys och AI
- Avvikelseidentifiering
Kunders säkerhetsintressenter (Läs mer):
DP-3: Kryptera känsliga data under överföring
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
3,10 | SC-8 | 3.5, 3.6, 4.1 |
Säkerhetsprincip: Skydda data under överföring mot "out of band"-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.
Ange nätverksgränsen och tjänstomfånget där data under överföringskryptering är obligatoriska i och utanför nätverket. Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk.
Azure-vägledning: Framtvinga säker överföring i tjänster som Azure Storage, där inbyggda data i överföringskrypteringsfunktionen är inbyggd.
Framtvinga HTTPS för arbetsbelastningar och tjänster för webbprogram genom att se till att alla klienter som ansluter till dina Azure-resurser använder TLS (Transport Layer Security) v1.2 eller senare. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
För fjärrhantering av virtuella Azure-datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du SFTP/FTPS-tjänsten i Azure Storage Blob, App Service-appar och Funktionsappar i stället för att använda den vanliga FTP-tjänsten.
Obs! Data i överföringskryptering är aktiverat för all Azure-trafik som färdas mellan Azure-datacenter. TLS v1.2 eller senare är aktiverat på de flesta Azure-tjänster som standard. Och vissa tjänster som Azure Storage och Application Gateway kan framtvinga TLS v1.2 eller senare på serversidan.
Azure-implementering och ytterligare kontext:
- Dubbel kryptering för Azure-data under överföring
- Förstå kryptering under överföring med Azure
- Information om TLS-säkerhet
- Framtvinga säker överföring i Azure Storage
AWS-vägledning: Framtvinga säker överföring i tjänster som Amazon S3, RDS och CloudFront, där en inbyggd data i överföringskrypteringsfunktionen är inbyggd.
Framtvinga HTTPS (till exempel i AWS Elastic Load Balancer) för webbprogram och tjänster för arbetsbelastningar (antingen på serversidan eller på klientsidan eller på båda) genom att se till att alla klienter som ansluter till dina AWS-resurser använder TLS v1.2 eller senare.
För fjärrhantering av EC2-instanser använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du AWS Transfer SFTP eller FTPS-tjänsten i stället för en vanlig FTP-tjänst.
Obs! All nätverkstrafik mellan AWS-datacenter krypteras transparent på det fysiska lagret. All trafik inom en virtuell dator och mellan peer-kopplade virtuella datorer mellan regioner krypteras transparent på nätverksskiktet när du använder amazon EC2-instanstyper som stöds. TLS v1.2 eller senare är aktiverat på de flesta AWS-tjänster som standard. Och vissa tjänster som AWS Load Balancer kan framtvinga TLS v1.2 eller senare på serversidan.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Framtvinga säker överföring i tjänster som Google Cloud Storage, där inbyggda data i överföringskrypteringsfunktionen är inbyggd.
Framtvinga HTTPS för arbetsbelastningar och tjänster för webbprogram som säkerställer att alla klienter som ansluter till dina GCP-resurser använder transportnivåsäkerhet (TLS) v1.2 eller senare.
För fjärrhantering använder Google Cloud Compute Engine SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. För säker filöverföring använder du SFTP/FTPS-tjänsten i tjänster som Google Cloud Big Query eller Cloud App Engine i stället för en vanlig FTP-tjänst.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
DP-4: Aktivera vilande datakryptering som standard
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
3.11 | SC-28 | 3.4, 3.5 |
Säkerhetsprincip: För att komplettera åtkomstkontroller bör vilande data skyddas mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra data.
Azure-vägledning: Många Azure-tjänster har vilande datakryptering aktiverat som standard på infrastrukturnivån med hjälp av en tjänsthanterad nyckel. Dessa tjänsthanterade nycklar genereras för kundens räkning och roteras automatiskt vartannat år.
Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera vilande datakryptering i Azure-tjänsterna eller på dina virtuella datorer på lagringsnivå, filnivå eller databasnivå.
Azure-implementering och ytterligare kontext:
- Förstå kryptering vid vila i Azure
- Dubbelkryptering av vilande data i Azure
- Krypteringsmodell och nyckelhanteringstabell
AWS-vägledning: Många AWS-tjänster har data i vila-kryptering aktiverat som standard på infrastruktur-/plattformslagret med hjälp av en AWS-hanterad kundhuvudnyckel. Dessa AWS-hanterade kundhuvudnycklar genereras för kundens räkning och roteras automatiskt vart tredje år.
Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera vilande datakryptering i AWS-tjänsterna eller på dina virtuella datorer på lagringsnivå, filnivå eller databasnivå.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Många Produkter och tjänster i Google Cloud har data i vila som standard aktiverade på infrastrukturlagret med hjälp av en tjänsthanterad nyckel. Dessa tjänsthanterade nycklar genereras för kundens räkning och roteras automatiskt.
Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera vilande datakryptering i GCP-tjänsterna eller på dina virtuella datorer på lagringsnivå, filnivå eller databasnivå.
Obs! Mer information finns i dokumentet "Kornighet för kryptering för Google Cloud-tjänster".
GCP-implementering och ytterligare kontext:
- Standardkryptering i vila
- Alternativ för datakryptering
- Kornighet för kryptering för Google Cloud-tjänster
Kunders säkerhetsintressenter (Läs mer):
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Säkerhetsprincip: Om det krävs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där alternativet för kundhanterad nyckel behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterade nycklar i tjänster.
Azure-vägledning: Azure tillhandahåller också ett krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterade nycklar) för de flesta tjänster.
Azure Key Vault Standard, Premium och Managed HSM är internt integrerade med många Azure-tjänster för kundhanterade nyckelanvändningsfall. Du kan använda Azure Key Vault för att generera din nyckel eller ta med dina egna nycklar.
Men att använda det kundhanterade nyckelalternativet kräver ytterligare driftsinsats för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.
Azure-implementering och ytterligare kontext:
- Krypteringsmodell och nyckelhanteringstabell
- Tjänster som stöder kryptering med hjälp av kundhanterad nyckel
- Konfigurera kundhanterade krypteringsnycklar i Azure Storage
AWS-vägledning: AWS tillhandahåller också ett krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterad kundhuvudnyckel som lagras i AWS nyckelhanteringstjänst (KMS)) för vissa tjänster.
AWS nyckelhanteringstjänst (KMS) (KMS) är inbyggt integrerat med många AWS-tjänster för kundhanterade kundhanterade nyckelanvändningsfall. Du kan antingen använda AWS nyckelhanteringstjänst (KMS) (KMS) för att generera huvudnycklarna eller ta med egna nycklar.
Men att använda det kundhanterade nyckelalternativet kräver ytterligare operativa ansträngningar för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Google Cloud tillhandahåller ett krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterade nycklar) för de flesta tjänster.
Google Cloud nyckelhanteringstjänst (KMS) (Cloud KMS) är inbyggt integrerat med många GCP-tjänster för kundhanterade krypteringsnycklar. Dessa nycklar kan skapas och hanteras med hjälp av Cloud KMS och du lagrar nycklarna som programvarunycklar, i ett HSM-kluster eller externt. Du kan använda Cloud KMS för att generera din nyckel eller ange dina egna nycklar (krypteringsnycklar som tillhandahålls av kunden).
Men att använda det kundhanterade nyckelalternativet kräver ytterligare operativa ansträngningar för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.
GCP-implementering och ytterligare kontext:
- Standardkryptering i vila
- Alternativ för datakryptering
- Kundhanterade krypteringsnycklar
- Krypteringsnyckel som tillhandahålls av kunden
Kunders säkerhetsintressenter (Läs mer):
DP-6: Använd en process för säker nyckelhantering
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
Ej tillämpligt | IA-5, SC-12, SC-28 | 3,6 |
Säkerhetsprincip: Dokumentera och implementera en standard för hantering av kryptografiska nycklar för företag, processer och procedurer för att styra din nyckellivscykel. När det finns ett behov av att använda kundhanterad nyckel i tjänsterna använder du en säker nyckelvalvstjänst för nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar baserat på det definierade schemat och när det finns en viktig tillbakagång eller kompromiss.
Azure-vägledning: Använd Azure Key Vault för att skapa och styra livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss. Kräv en viss kryptografisk typ och minsta nyckelstorlek vid generering av nycklar.
När det finns ett behov av att använda kundhanterad nyckel (CMK) i arbetsbelastningstjänster eller program bör du följa metodtipsen:
- Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet.
- Se till att nycklar registreras med Azure Key Vault och implementeras via nyckel-ID:t i varje tjänst eller program.
För att maximera nyckelmaterialets livslängd och portabilitet tar du med din egen nyckel (BYOK) till tjänsterna (dvs. importeraR HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault). Följ den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.
Obs! Se nedan för FIPS 140-2-nivån för Azure Key Vault-typer och FIPS-efterlevnad/valideringsnivå.
- Programvaruskyddade nycklar i valv (Premium- och Standard-SKU:er): FIPS 140-2 Nivå 1
- HSM-skyddade nycklar i valv (Premium SKU): FIPS 140-2 Nivå 2
- HSM-skyddade nycklar i Managed HSM: FIPS 140-2 Nivå 3
Azure Key Vault Premium använder en delad HSM-infrastruktur i serverdelen. Azure Key Vault Managed HSM använder dedikerade, konfidentiella tjänstslutpunkter med en dedikerad HSM för när du behöver en högre nivå av nyckelsäkerhet.
Azure-implementering och ytterligare kontext:
- Översikt över Azure Key Vault
- Azure-datakryptering i rest--Key Hierarchy
- BYOK-specifikation (Bring Your Own Key)
AWS-vägledning: Använd AWS nyckelhanteringstjänst (KMS) (KMS) för att skapa och kontrollera livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i KMS och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.
När du behöver använda kundhanterad kundnyckel i arbetsbelastningstjänsterna eller programmen ska du följa metodtipsen:
- Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i KMS.
- Se till att nycklar registreras med KMS och implementeras via IAM-principer i varje tjänst eller program.
För att maximera livslängden och portabiliteten för nyckelmaterial tar du med din egen nyckel (BYOK) till tjänsterna (dvs. importeraR HSM-skyddade nycklar från dina lokala HSM:er till KMS eller Cloud HSM). Följ den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.
Obs! AWS KMS använder delad HSM-infrastruktur i serverdelen. Använd AWS KMS Custom Key Store som backas upp av AWS CloudHSM när du behöver hantera ditt eget nyckelarkiv och dedikerade HSM:er (t.ex. krav på regelefterlevnad för högre nivå av nyckelsäkerhet) för att generera och lagra dina krypteringsnycklar.
Obs! Se nedan för FIPS 140-2-nivån för FIPS-efterlevnadsnivå i AWS KMS och CloudHSM:
- Standardvärde för AWS KMS: FIPS 140-2 Nivå 2 verifierad
- AWS KMS med CloudHSM: FIPS 140-2 Nivå 3 (för vissa tjänster) verifierad
- AWS CloudHSM: FIPS 140-2 Nivå 3 verifierad
Obs! För hantering av hemligheter (autentiseringsuppgifter, lösenord, API-nycklar osv.) använder du AWS Secrets Manager.
AWS-implementering och ytterligare kontext:
- AWS-hanterade och kundhanterade CMK:er
- Importera nyckelmaterial i AWS KMS-nycklar
- Säker överföring av nycklar till CloudHSM
- Skapa ett anpassat nyckelarkiv som backas upp av CloudHSM
GCP-vägledning: Använd Cloud nyckelhanteringstjänst (KMS) (Cloud KMS) för att skapa och hantera krypteringsnyckellivscykler i kompatibla Google Cloud-tjänster och i dina arbetsbelastningsprogram. Rotera och återkalla dina nycklar i Cloud KMS och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.
Använd Googles Cloud HSM-tjänst för att tillhandahålla maskinvarubaserade nycklar till Cloud KMS (nyckelhanteringstjänst (KMS)) Det ger dig möjlighet att hantera och använda dina egna kryptografiska nycklar samtidigt som du skyddas av fullständigt hanterade maskinvarusäkerhetsmoduler (HSM).
Cloud HSM-tjänsten använder HSM:er, som är FIPS 140-2 Level 3-validerade och alltid körs i FIPS-läge. FIPS 140-2 Level 3-validated och körs alltid i FIPS-läge. FIPS-standarden anger de kryptografiska algoritmer och slumptalsgenerering som används av HSM:erna.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
DP-7: Använd en säker certifikathanteringsprocess
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
Ej tillämpligt | IA-5, SC-12, SC-17 | 3,6 |
Säkerhetsprincip: Dokumentera och implementera en standard för företagscertifikathantering, processer och procedurer som omfattar livscykelkontroll för certifikat och certifikatprinciper (om det behövs en infrastruktur för offentlig nyckel).
Se till att certifikat som används av de kritiska tjänsterna i din organisation inventeras, spåras, övervakas och förnyas i tid med hjälp av automatiserad mekanism för att undvika avbrott i tjänsten.
Azure-vägledning: Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och azure-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du en manuell rotation i Azure Key Vault.
Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa offentligt signerade certifikat i Azure Key Vault. Följande certifikatutfärdare är de partnerleverantörer som för närvarande är integrerade med Azure Key Vault.
- DigiCert: Azure Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
- GlobalSign: Azure Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.
Obs! Använd endast godkänd certifikatutfärdare och se till att kända felaktiga rot-/mellanliggande certifikat som utfärdats av dessa certifikatutfärdare är inaktiverade.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd AWS Certificate Manager (ACM) för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i ACM och AWS-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du manuell rotation i ACM. Under tiden bör du alltid spåra certifikatförnyelsestatusen för att säkerställa certifikatets giltighet.
Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. Skapa i stället offentligt signerade certifikat (signerade av Amazon Certificate Authority) i ACM och distribuera dem programmatiskt i tjänster som CloudFront, Load Balancers, API Gateway osv. Du kan också använda ACM för att upprätta din privata certifikatutfärdare (CA) för att signera de privata certifikaten.
Obs! Använd endast en godkänd certifikatutfärdare och se till att kända felaktiga rotcertifikatutfärdare/mellanliggande certifikatutfärdare som utfärdats av dessa certifikatutfärdare är inaktiverade.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Google Cloud Certificate Manager för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Certifikathanteraren och GCP-tjänster som stöds baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i klientdelsprogrammet använder du manuell rotation i Certifikathanteraren. Under tiden bör du alltid spåra certifikatförnyelsestatusen för att säkerställa certifikatets giltighet.
Undvik att använda ett självsignerat certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa signerade offentliga certifikat i Certificate Manager och distribuera dem programmatiskt i tjänster som Load Balancer och Cloud DNS osv. Du kan också använda certifikatutfärdartjänsten för att upprätta din privata certifikatutfärdare (CA) för att signera de privata certifikaten.
Obs! Du kan också använda Google Cloud Secret Manager för att lagra TLS-certifikat.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
DP-8: Säkerställ säkerheten för nyckel- och certifikatlagringsplatsen
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS-ID:er v3.2.1 |
---|---|---|
Ej tillämpligt | IA-5, SC-12, SC-17 | 3,6 |
Säkerhetsprincip: Säkerställ säkerheten för nyckelvalvstjänsten som används för hantering av kryptografinyckel och certifikatlivscykel. Härda key vault-tjänsten via åtkomstkontroll, nätverkssäkerhet, loggning och övervakning och säkerhetskopiering för att säkerställa att nycklar och certifikat alltid skyddas med maximal säkerhet.
Azure-vägledning: Skydda dina kryptografiska nycklar och certifikat genom att härda Azure Key Vault-tjänsten med hjälp av följande kontroller:
- Implementera åtkomstkontroll med hjälp av RBAC-principer i Azure Key Vault Managed HSM på nyckelnivå för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa. För Azure Key Vault Standard och Premium skapar du unika valv för olika program för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs.
- Aktivera Azure Key Vault-loggning för att säkerställa att viktiga hanteringsplan- och dataplansaktiviteter loggas.
- Skydda Azure Key Vault med Private Link och Azure Firewall för att säkerställa minimal exponering av tjänsten
- Använd hanterad identitet för att komma åt nycklar som lagras i Azure Key Vault i dina arbetsbelastningsprogram.
- När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
- Säkerhetskopiera dina nycklar och certifikat med Hjälp av Azure Key Vault. Aktivera skydd mot mjuk borttagning och rensning för att undvika oavsiktlig borttagning av nycklar. När nycklar måste tas bort bör du överväga att inaktivera nycklar i stället för att ta bort dem för att undvika oavsiktlig borttagning av nycklar och kryptografisk radering av data.
- För byok-användningsfall (Bring Your Own Key) genererar du nycklar i en lokal HSM och importerar dem för att maximera nycklarnas livslängd och portabilitet.
- Lagra aldrig nycklar i klartextformat utanför Azure Key Vault. Nycklar i alla key vault-tjänster kan inte exporteras som standard.
- Använd HSM-säkerhetskopierade nyckeltyper (RSA-HSM) i Azure Key Vault Premium och Azure Managed HSM för maskinvaruskydd och de starkaste FIPS-nivåerna.
Aktivera Microsoft Defender for Key Vault för Azure-baserat avancerat skydd för Azure Key Vault, vilket ger ett ytterligare lager med säkerhetsinsikter.
Azure-implementering och ytterligare kontext:
- Översikt över Azure Key Vault
- Metodtips för Säkerhet i Azure Key Vault
- Använda hanterad identitet för att få åtkomst till Azure Key Vault
- Översikt över Microsoft Defender för Key Vault
AWS-vägledning: Skydda dina nycklar genom att härda din AWS nyckelhanteringstjänst (KMS)-tjänst (KMS) med hjälp av följande kontroller för säkerhet i kryptografiska nycklar:
- Implementera åtkomstkontroll med hjälp av nyckelprinciper (åtkomstkontroll på nyckelnivå) tillsammans med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att principerna för minsta behörighet och uppdelning av uppgifter följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa.
- Använd detektivkontroller som CloudTrails för att logga och spåra användningen av nycklar i KMS och varna dig om kritiska åtgärder.
- Lagra aldrig nycklar i klartextformat utanför KMS.
- När nycklar måste tas bort bör du överväga att inaktivera nycklar i KMS i stället för att ta bort dem för att undvika oavsiktlig borttagning av nycklar och kryptografisk radering av data.
- När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
- För byok-användningsfall (Bring Your Own Key) genererar du nycklar i en lokal HSM och importerar dem för att maximera nycklarnas livslängd och portabilitet.
Skydda dina certifikat för certifikatsäkerhet genom att härda AWS Certificate Manager-tjänsten (ACM) genom följande kontroller:
- Implementera åtkomstkontroll med hjälp av principer på resursnivå tillsammans med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att principerna för minsta behörighet och uppdelning av uppgifter följs. Se till exempel till att det finns en uppdelning av uppgifter för användarkonton: användarkonton som genererar certifikat är separata från användarkontona som bara kräver skrivskyddad åtkomst till certifikat.
- Använd detektivkontroller som CloudTrails för att logga och spåra användningen av certifikaten i ACM och varna dig om kritiska åtgärder.
- Följ KMS-säkerhetsvägledningen för att skydda din privata nyckel (genererad för certifikatbegäran) som används för tjänstcertifikatintegrering.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Skydda dina nycklar genom att härda dina nyckelhanteringstjänst (KMS) genom följande kontroller för krypteringsnycklar:
- Implementera åtkomstkontroll med hjälp av IAM-roller för att säkerställa att minsta möjliga behörighet och ansvarsfördelning följs. Se till exempel till att uppdelning av uppgifter är på plats för användare som hanterar krypteringsnycklar så att de inte har möjlighet att komma åt krypterade data och vice versa.
- Skapa en separat nyckelring för varje projekt som gör att du enkelt kan hantera och kontrollera åtkomsten till nycklarna enligt bästa praxis för lägsta behörighet. Det gör det också lättare att granska vem som har åtkomst till vilka nycklar vid när.
- Aktivera automatisk rotation av nycklar för att säkerställa att nycklarna uppdateras och uppdateras regelbundet. Detta hjälper till att skydda mot potentiella säkerhetshot, till exempel råstyrkeattacker eller skadliga aktörer som försöker få åtkomst till känslig information.
- Konfigurera en granskningsloggmottagare för att spåra alla aktiviteter som inträffar i din GCP KMS-miljö.
Skydda dina certifikat för certifikatsäkerhet genom att härda GCP-certifikathanteraren och certifikatutfärdartjänsten genom följande kontroller:
- Implementera åtkomstkontroll med hjälp av principer på resursnivå tillsammans med IAM-principer (identitetsbaserad åtkomstkontroll) för att säkerställa att principerna för minsta behörighet och uppdelning av uppgifter följs. Se till exempel till att det finns en uppdelning av uppgifter för användarkonton: användarkonton som genererar certifikat är separata från användarkontona som bara kräver skrivskyddad åtkomst till certifikat.
- Använd detektivkontroller som molngranskningsloggar för att logga och spåra användningen av certifikaten i Certifikathanteraren och varna dig om kritiska åtgärder.
- Secret Manager stöder även lagring av TLS-certifikat. Du måste följa liknande säkerhetspraxis för att implementera säkerhetskontrollerna i Secret Manager.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):