Megosztás a következőn keresztül:

Biztonságvezérlés: Adatvédelem

  • Cikk

Az Adatvédelem magában foglalja az inaktív, a tranzit és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelem ellenőrzését, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcskezeléssel és tanúsítványkezeléssel.|

DP-1: Bizalmas adatok felderítése, osztályozása és címkézése

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Biztonsági alapelv: A bizalmas adatok leltárának létrehozása és karbantartása a meghatározott bizalmas adatok hatóköre alapján. Eszközökkel felderítheti, osztályozhatja és címkézheti a hatókörön belüli bizalmas adatokat.

Azure-útmutató: Olyan eszközök használata, mint a Microsoft Purview, amely egyesíti a korábbi Azure Purview és Microsoft 365 megfelelőségi megoldásokat, valamint az Azure SQL Data Discovery és -besorolás segítségével központilag vizsgálhatja, osztályozhatja és címkézhetővé teszi az Azure-ban, a helyszínen, a Microsoft 365-ben és más helyeken található bizalmas adatokat.

Azure-implementáció és további környezet:

AWS-útmutató: Replikálja az adatokat különböző forrásokból egy S3-tárolóba, és az AWS Macie használatával vizsgálja, osztályozza és címkézi a gyűjtőben tárolt bizalmas adatokat. Az AWS Macie képes észlelni a bizalmas adatokat, például a biztonsági hitelesítő adatokat, a pénzügyi adatokat, a PHI- és PII-adatokat, vagy az egyéni adatazonosító szabályokon alapuló egyéb adatmintát.

Az Azure Purview többfelhős vizsgálati összekötővel is vizsgálhatja, osztályozhatja és címkézheti az S3-tárolókban található bizalmas adatokat.

Megjegyzés: Az AWS piactérről származó külső vállalati megoldásokat is használhat adatfelderítési besorolás és címkézés céljából.

AWS-implementáció és további környezet:

GCP-útmutató: A GCP-ben és a helyszíni környezetekben található bizalmas adatok központi vizsgálatához, besorolásához és címkézéséhez használjon olyan eszközöket, mint a Google Cloud Data Loss Prevention.

Emellett a Google Cloud Data Catalog használatával a Cloud Data Loss Prevention (DLP) vizsgálat eredményeit használva azonosíthatja a bizalmas adatokat a definiált címkesablonokkal.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3.13 AC-4, SI-4 A3.2

Biztonsági alapelv: Figyelheti a bizalmas adatokkal kapcsolatos rendellenességeket, például az adatok jogosulatlan átvitelét a vállalati láthatóságon és ellenőrzésen kívüli helyekre. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.

Azure-útmutató: Az Azure Information Protection (AIP) használatával figyelheti a besorolt és címkézett adatokat.

A Microsoft Defender for Storage, az SQL-hez készült Microsoft Defender, a nyílt forráskódú relációs adatbázisokhoz készült Microsoft Defender és a Microsoft Defender for Cosmos DB használatával riasztást kaphat a bizalmas adatok jogosulatlan átvitelét jelző rendellenes adattovábbításokról.

Megjegyzés: Ha az adatveszteség-megelőzés (DLP) megfelelőségéhez szükséges, az Azure Marketplace-ről származó gazdagépalapú DLP-megoldással vagy a Microsoft 365 DLP-megoldással kényszerítheti ki a detektív és/vagy megelőző vezérlőket az adatkiszivárgás megakadályozása érdekében.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS Macie használatával figyelheti a besorolt és címkézett adatokat, és a GuardDuty használatával észlelheti egyes erőforrások rendellenes tevékenységeit (S3, EC2 vagy Kubernetes vagy IAM-erőforrások). Az eredmények és riasztások az EventBridge használatával triagedálhatók, elemezhetők és nyomon követhetők, és továbbíthatók a Microsoft Sentinel vagy a Security Hub felé incidensek összesítése és nyomon követése céljából.

Az AWS-fiókokat a megfelelőségi ellenőrzések, a tárolóbiztonság és a végpontok biztonsági képességeinek Felhőhöz készült Microsoft Defender is csatlakoztathatja.

Megjegyzés: Ha szükséges az adatveszteség-megelőzés (DLP) megfelelőségéhez, használhat gazdagépalapú DLP-megoldást az AWS Marketplace-ről.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud Security Command Center/Event Threat Detection/Anomaly Detection használatával riasztást kaphat olyan rendellenes adatátvitelről, amely bizalmas adatok jogosulatlan átvitelét jelezheti.

A GCP-fiókokat a megfelelőségi ellenőrzések, a tárolóbiztonság és a végpontok biztonsági képességeinek Felhőhöz készült Microsoft Defender is csatlakoztathatja.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-3: Bizalmas adatok titkosítása átvitel közben

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3,10 SC-8 3.5, 3.6, 4.1

Biztonsági alapelv: Az átvitt adatok védelme "sávon kívüli" támadásokkal szemben (például forgalomrögzítés) titkosítással, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Adja meg azt a hálózati határt és szolgáltatási hatókört, amelyben az átviteltitkosításban lévő adatok a hálózaton belül és kívül kötelezőek. Bár ez nem kötelező a magánhálózatok forgalmához, ez a külső és a nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú.

Azure-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint az Azure Storage, ahol egy natív adattitkosítási funkció van beépítve.

A HTTPS kényszerítése a webalkalmazások számítási feladataihoz és szolgáltatásaihoz annak biztosításával, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek a Transport Layer Security (TLS) 1.2-es vagy újabb verzióját használják. Virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.

Az Azure-beli virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windows esetén) titkosítás nélküli protokoll helyett. A biztonságos fájlátvitelhez használja az SFTP/FTPS szolgáltatást az Azure Storage Blobban, az App Service-alkalmazásokban és a Függvényalkalmazásokban a hagyományos FTP-szolgáltatás használata helyett.

Megjegyzés: Az átviteltitkosításban lévő adatok az Azure-adatközpontok közötti összes Azure-forgalom esetében engedélyezve van. A TLS 1.2-s vagy újabb verziója alapértelmezés szerint engedélyezve van a legtöbb Azure-szolgáltatásban. Egyes szolgáltatások, például az Azure Storage és az Application Gateway is kényszeríthetik a TLS 1.2-s vagy újabb verzióját a kiszolgálóoldalon.

Azure-implementáció és további környezet:

AWS-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint az Amazon S3, az RDS és a CloudFront, ahol egy natív adattitkosítási funkció van beépítve.

Https kényszerítése (például az AWS Elastic Load Balancerben) a számítási feladat webalkalmazásai és szolgáltatásai számára (kiszolgálóoldalon, ügyféloldalon vagy mindkettőn) annak biztosításával, hogy az AWS-erőforrásokhoz csatlakozó ügyfelek a TLS 1.2-s vagy újabb verzióját használják.

Az EC2-példányok távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windows esetén) titkosítatlan protokoll helyett. A biztonságos fájlátvitelhez használja az AWS Transfer SFTP vagy FTPS szolgáltatást a hagyományos FTP-szolgáltatás helyett.

Megjegyzés: Az AWS-adatközpontok közötti összes hálózati forgalom transzparensen titkosítva van a fizikai rétegen. A támogatott Amazon EC2-példánytípusok használatakor a VPC-n belüli és a régiók között társviszonyban lévő VPN-ek közötti összes forgalom transzparensen titkosítva lesz a hálózati rétegen. A TLS 1.2-s vagy újabb verziója alapértelmezés szerint engedélyezve van a legtöbb AWS-szolgáltatásban. Egyes szolgáltatások, például az AWS Load Balancer is kényszeríthetik a TLS 1.2-s vagy újabb verzióját a kiszolgálóoldalon.

AWS-implementáció és további környezet:

GCP-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint a Google Cloud Storage, ahol egy natív adattitkosítási funkció van beépítve.

Kényszerítse a HTTPS-t a webalkalmazás számítási feladataihoz és szolgáltatásaihoz, biztosítva, hogy a GCP-erőforrásokhoz csatlakozó ügyfelek a transport layer security (TLS) 1.2-es vagy újabb verzióját használják.

Távfelügyelet esetén a Google Cloud Compute Engine titkosítás nélküli protokoll helyett használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz). A biztonságos fájlátvitelhez használja az SFTP/FTPS szolgáltatást olyan szolgáltatásokban, mint a Google Cloud Big Query vagy a Cloud App Engine, nem pedig egy hagyományos FTP-szolgáltatás.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3.11 SC-28 3.4, 3.5

Biztonsági alapelv: A hozzáférés-vezérlés kiegészítése érdekében a inaktív adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal szemben (például a mögöttes tárolóhoz való hozzáféréssel). Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Azure-útmutató: Számos Azure-szolgáltatás rendelkezik olyan adatokkal, amelyek inaktív titkosítással rendelkeznek, alapértelmezés szerint engedélyezve vannak az infrastruktúrarétegen egy szolgáltatás által felügyelt kulccsal. Ezek a szolgáltatás által felügyelt kulcsok az ügyfél nevében jönnek létre, és kétévente automatikusan rotáltak.

Ahol technikailag megvalósítható, és alapértelmezés szerint nem engedélyezett, engedélyezheti az azure-szolgáltatásokban, illetve a virtuális gépeken tárolt adatok tárolási, fájl- vagy adatbázisszintű inaktív titkosítását.

Azure-implementáció és további környezet:

Útmutató az AWS-hez: Számos AWS-szolgáltatás rendelkezik inaktív adatokkal, amelyek alapértelmezés szerint engedélyezve vannak az infrastruktúra-/platformrétegen egy AWS által felügyelt ügyfél főkulcsával. Ezek az AWS által felügyelt ügyfél főkulcsai az ügyfél nevében jönnek létre, és háromévente automatikusan forognak.

Ha technikailag megvalósítható, és alapértelmezés szerint nincs engedélyezve, engedélyezheti az adatok inaktív titkosítását az AWS-szolgáltatásokban, illetve a virtuális gépeken a tárolási szinten, a fájlszinten vagy az adatbázis szintjén.

AWS-implementáció és további környezet:

GCP-útmutató: Számos Google Cloud-termék és szolgáltatás rendelkezik inaktív titkosítással rendelkező adatokkal, amelyek alapértelmezés szerint engedélyezve vannak az infrastruktúrarétegen egy szolgáltatás által felügyelt kulccsal. Ezek a szolgáltatás által felügyelt kulcsok az ügyfél nevében jönnek létre, és automatikusan el lesznek forgatva.

Ha technikailag megvalósítható, és alapértelmezés szerint nincs engedélyezve, engedélyezheti az adatokat inaktív titkosítással a GCP-szolgáltatásokban, illetve a virtuális gépeken tárolási szinten, fájlszinten vagy adatbázisszinten.

Megjegyzés: További részletekért tekintse meg a "Google Cloud Services titkosításának részletessége" című dokumentumot.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Biztonsági alapelv: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol az ügyfél által felügyelt kulcsra van szükség. Adatok engedélyezése és implementálása inaktív titkosításkor az ügyfél által felügyelt kulcsok használatával a szolgáltatásokban.

Azure-útmutató: Az Azure titkosítási lehetőséget is biztosít a saját (ügyfél által felügyelt) kulcsok használatával a legtöbb szolgáltatáshoz.

Az Azure Key Vault Standard, Prémium és Felügyelt HSM natív módon integrálva van számos Azure-szolgáltatással az ügyfél által felügyelt kulcshasználati esetekhez. Az Azure Key Vault használatával létrehozhatja a kulcsot, vagy saját kulcsokat hozhat létre.

Az ügyfél által felügyelt kulcs beállításának használata azonban további működési erőfeszítést igényel a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS egy olyan titkosítási lehetőséget is biztosít, amely bizonyos szolgáltatásokhoz saját maga által felügyelt kulcsokat (az ügyfél által felügyelt ügyfélkulcsot az AWS kulcskezelő szolgáltatás tárolja).

Az AWS kulcskezelő szolgáltatás (KMS) natív módon integrálva van számos AWS-szolgáltatással az ügyfél által felügyelt főkulcs-használati esetekhez. Az AWS kulcskezelő szolgáltatás (KMS) használatával létrehozhatja a főkulcsokat, vagy saját kulcsokat hozhat létre.

Az ügyfél által felügyelt kulcsbeállítás használata azonban további üzemeltetési erőfeszítéseket igényel a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud olyan titkosítási lehetőséget biztosít, amely a legtöbb szolgáltatáshoz saját maga által felügyelt kulcsokat (ügyfél által felügyelt kulcsokat) használ.

A Google Cloud kulcskezelő szolgáltatás (Cloud KMS) natív módon integrálva van az ügyfél által felügyelt titkosítási kulcsok számos GCP-szolgáltatásával. Ezek a kulcsok a Cloud KMS használatával hozhatók létre és kezelhetők, és a kulcsokat szoftverkulcsként, HSM-fürtön vagy külsőleg tárolhatja. A Cloud KMS használatával létrehozhatja a kulcsot, vagy saját kulcsokat (ügyfél által megadott titkosítási kulcsokat) adhat meg.

Az ügyfél által felügyelt kulcsbeállítás használata azonban további üzemeltetési erőfeszítéseket igényel a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-6: Biztonságos kulcskezelési folyamat használata

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
n/a IA-5, SC-12, SC-28 3,6

Biztonsági alapelv: Dokumentáljon és implementáljon egy vállalati titkosítási kulcskezelési szabványt, folyamatokat és eljárásokat a kulcs életciklusának szabályozásához. Ha ügyfél által felügyelt kulcsot kell használni a szolgáltatásokban, használjon biztonságos kulcstartó szolgáltatást a kulcsgeneráláshoz, a terjesztéshez és a tároláshoz. A kulcsok elforgatása és visszavonása a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén.

Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén. Kulcsok létrehozásakor szükség van egy bizonyos titkosítási típusra és minimális kulcsméretre.

Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladatok szolgáltatásaiban vagy alkalmazásaiban, kövesse az ajánlott eljárásokat:

  • Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban.
  • Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és az egyes szolgáltatásokban vagy alkalmazásokban kulcsazonosítókon keresztül implementálva vannak.

A kulcsanyag élettartamának és hordozhatóságának maximalizálása érdekében hozza a saját kulcsát (BYOK) a szolgáltatásokba (azaz importálja a HSM által védett kulcsokat a helyszíni HSM-ekből az Azure Key Vaultba). A kulcslétrehozás és a kulcsátvitel végrehajtásához kövesse az ajánlott útmutatót.

Megjegyzés: Az alábbiakban az Azure Key Vault-típusok FIPS 140-2-es szintjét, valamint a FIPS megfelelőségi/érvényesítési szintjét találja.

  • Szoftveres védelem alatt álló kulcsok tárolókban (Prémium & Standard termékváltozatok): FIPS 140-2 1. szint
  • HSM által védett kulcsok tárolókban (prémium termékváltozat): FIPS 140-2 2. szint
  • HSM által védett kulcsok a felügyelt HSM-ben: FIPS 140-2 3. szint

Az Azure Key Vault Premium megosztott HSM-infrastruktúrát használ a háttérrendszerben. Az Azure Key Vault felügyelt HSM dedikált, bizalmas szolgáltatásvégpontokat használ dedikált HSM-sel, ha magasabb szintű kulcsbiztonságra van szüksége.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS kulcskezelő szolgáltatás (KMS) használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A KMS-ben és a szolgáltatásban lévő kulcsok elforgatása és visszavonása a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén.

Ha ügyfél által felügyelt ügyfél főkulcsot kell használnia a számítási feladatok szolgáltatásaiban vagy alkalmazásaiban, győződjön meg arról, hogy az ajánlott eljárásokat követi:

  • Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a KMS-ben.
  • Győződjön meg arról, hogy a kulcsok regisztrálva vannak a KMS-ben, és az egyes szolgáltatásokban vagy alkalmazásokban IAM-szabályzatokkal implementálhatók.

A kulcsanyag élettartamának és hordozhatóságának maximalizálása érdekében hozza a saját kulcsát (BYOK) a szolgáltatásokba (azaz importálja a HSM által védett kulcsokat a helyszíni HSM-ekből a KMS-be vagy a felhőbeli HSM-be). A kulcslétrehozás és a kulcsátvitel végrehajtásához kövesse az ajánlott útmutatót.

Megjegyzés: Az AWS KMS megosztott HSM-infrastruktúrát használ a háttérrendszerben. Az AWS CloudHSM által támogatott AWS KMS egyéni kulcstárolót akkor használja, ha saját kulcstárolóját és dedikált HSM-eit (például a magasabb szintű kulcsbiztonság jogszabályi megfelelőségi követelményeit) kell kezelnie a titkosítási kulcsok létrehozásához és tárolásához.

Megjegyzés: Az AWS KMS-ben és a CloudHSM-ben a FIPS 140-2 szintű FIPS-megfelelőségi szintről az alábbiakban olvashat:

  • AWS KMS alapértelmezett: FIPS 140-2 2. szint érvényesítve
  • AWS KMS a CloudHSM használatával: FIPS 140-2 3. szint (bizonyos szolgáltatások esetén) érvényesítve
  • AWS CloudHSM: FIPS 140-2 3. szint érvényesítve

Megjegyzés: Titkos kódok kezeléséhez (hitelesítő adatok, jelszó, API-kulcsok stb.) használja az AWS Titkos kulcskezelőt.

AWS-implementáció és további környezet:

GCP-útmutató: A Cloud kulcskezelő szolgáltatás (Cloud KMS) használatával hozhat létre és kezelhet titkosításikulcs-életciklusokat a kompatibilis Google Cloud-szolgáltatásokban és a számítási feladatok alkalmazásaiban. Forgassa el és vonja vissza a kulcsokat a Cloud KMS-ben és a szolgáltatásban a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén.

A Google Cloud HSM szolgáltatásával hardveralapú kulcsokat biztosíthat a Cloud KMS-hez (kulcskezelő szolgáltatás). Lehetővé teszi a saját titkosítási kulcsok kezelését és használatát, miközben teljes körűen felügyelt hardveres biztonsági modulok (HSM) védik őket.

A felhőbeli HSM szolgáltatás olyan HSM-eket használ, amelyek FIPS 140-2 3. szintűek, és mindig FIPS módban futnak. A FIPS 140-2 3. szintű érvényesítve, és mindig FIPS módban fut. A FIPS-szabvány a HSM-k által használt titkosítási algoritmusokat és véletlenszerű számgenerálást határozza meg.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-7: Biztonságos tanúsítványkezelési folyamat használata

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
n/a IA-5, SC-12, SC-17 3,6

Biztonsági alapelv: Dokumentáljon és implementáljon egy vállalati tanúsítványkezelési szabványt, folyamatokat és eljárásokat, amelyek tartalmazzák a tanúsítvány életciklus-vezérlését és a tanúsítványszabályzatokat (ha nyilvános kulcsú infrastruktúrára van szükség).

Győződjön meg arról, hogy a szervezet kritikus szolgáltatásai által használt tanúsítványok leltározása, nyomon követése, monitorozása és megújítása automatikus mechanizmussal történik a szolgáltatáskimaradás elkerülése érdekében.

Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása a megadott szabványt követi anélkül, hogy nem használná a nem biztonságos tulajdonságokat, például nem megfelelő kulcsméretet, túl hosszú érvényességi időtartamot, nem biztonságos titkosítást stb. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban és a támogatott Azure-szolgáltatásokban a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, akkor az Azure Key Vaultban manuális forgást kell használnia.

A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett létrehozhat nyilvánosan aláírt tanúsítványokat az Azure Key Vaultban. A következő hitelesítésszolgáltatók (CA-k) azok a partnerszolgáltatók, amelyek jelenleg integrálva vannak az Azure Key Vaulttal.

  • DigiCert: Az Azure Key Vault OV TLS/SSL-tanúsítványokat kínál a DigiCerttel.
  • GlobalSign: Az Azure Key Vault OV TLS/SSL-tanúsítványokat kínál a GlobalSign használatával.

Megjegyzés: Csak jóváhagyott hitelesítésszolgáltatót használjon, és győződjön meg arról, hogy az ezen hitelesítésszolgáltatók által kibocsátott ismert hibás legfelső szintű/köztes tanúsítványok le vannak tiltva.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS Tanúsítványkezelővel (ACM) létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása a megadott szabványt követi anélkül, hogy nem használná a nem biztonságos tulajdonságokat, például nem megfelelő kulcsméretet, túl hosszú érvényességi időtartamot, nem biztonságos titkosítást stb. A tanúsítvány automatikus elforgatásának beállítása az ACM-ben és a támogatott AWS-szolgáltatásokban a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használja a manuális forgatást az ACM-ben. Addig is mindig nyomon kell követnie a tanúsítvány megújítási állapotát a tanúsítvány érvényességének biztosítása érdekében.

A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett hozzon létre nyilvánosan aláírt tanúsítványokat (amelyeket az Amazon-hitelesítésszolgáltató írt alá) az ACM-ben, és telepítse programozott módon olyan szolgáltatásokban, mint a CloudFront, a Load Balancers, az API Gateway stb. A magántanúsítványok aláírásához az ACM használatával is létrehozhatja a magántanúsítványokat.

Megjegyzés: Csak jóváhagyott hitelesítésszolgáltatót használjon, és győződjön meg arról, hogy az ezen hitelesítésszolgáltatók által kibocsátott ismert hibás legfelső szintű/köztes tanúsítványok le vannak tiltva.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud Certificate Manager használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása a megadott szabványt követi anélkül, hogy nem használná a nem biztonságos tulajdonságokat, például nem megfelelő kulcsméretet, túl hosszú érvényességi időtartamot, nem biztonságos titkosítást stb. A tanúsítvány automatikus rotálásának beállítása a Tanúsítványkezelőben és a támogatott GCP-szolgáltatásokban a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használja a manuális forgatást a Tanúsítványkezelőben. Addig is mindig nyomon kell követnie a tanúsítvány megújítási állapotát a tanúsítvány érvényességének biztosítása érdekében.

A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett létrehozhat aláírt nyilvános tanúsítványokat a Tanúsítványkezelőben, és programozott módon helyezheti üzembe azokat olyan szolgáltatásokban, mint a Load Balancer és a Cloud DNS stb. A hitelesítésszolgáltatói szolgáltatással a magántanúsítványok aláírásához is létrehozhatja a magántanúsítványokat.

Megjegyzés: A Google Cloud Secret Manager használatával TLS-tanúsítványokat is tárolhat.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-8: A kulcs- és tanúsítványtár biztonságának biztosítása

CIS-vezérlők v8-azonosítója(i) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
n/a IA-5, SC-12, SC-17 3,6

Biztonsági alapelv: A titkosítási kulcs és a tanúsítvány életciklusának kezeléséhez használt kulcstartó szolgáltatás biztonságának biztosítása. A kulcstartó szolgáltatását a hozzáférés-vezérlés, a hálózati biztonság, a naplózás és a figyelés, valamint a biztonsági mentés révén erősítheti meg, hogy a kulcsok és tanúsítványok mindig a maximális biztonsággal legyenek védve.

Azure-útmutató: A titkosítási kulcsok és tanúsítványok biztonságossá tételéhez az Azure Key Vault szolgáltatást az alábbi vezérlőkkel teheti meg:

  • A hozzáférés-vezérlés RBAC-szabályzatokkal való implementálása az Azure Key Vault felügyelt HSM-ben kulcsszinten, hogy a lehető legkisebb jogosultsági és elkülönítési alapelvek érvényesüljenek. Például győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, hogy ne férhessenek hozzá a titkosított adatokhoz, és fordítva. Az Azure Key Vault Standard és a Premium esetében hozzon létre egyedi tárolókat a különböző alkalmazásokhoz, hogy a minimális jogosultsági és elkülönítési alapelvek érvényesüljenek.
  • Kapcsolja be az Azure Key Vault naplózását a kritikus felügyeleti sík és az adatsík tevékenységeinek naplózásához.
  • Az Azure Key Vault védelme a Private Link és az Azure Firewall használatával a szolgáltatás minimális expozíciójának biztosítása érdekében
  • Felügyelt identitással érheti el az Azure Key Vaultban tárolt kulcsokat a számítási feladatok alkalmazásaiban.
  • Az adatok törlésekor győződjön meg arról, hogy a kulcsok nem törlődnek a tényleges adatok, a biztonsági másolatok és az archívumok törlése előtt.
  • Biztonsági másolatot készít a kulcsokról és a tanúsítványokról az Azure Key Vault használatával. A kulcsok véletlen törlésének elkerülése érdekében engedélyezze a helyreállítható törlési és törlési védelmet. Ha a kulcsokat törölni kell, fontolja meg a kulcsok törlésének letiltását, hogy elkerülje a kulcsok véletlen törlését és az adatok titkosítási törlését.
  • Saját kulcshasználati esetek létrehozásához hozzon létre kulcsokat egy helyszíni HSM-ben, és importálja őket a kulcsok élettartamának és hordozhatóságának maximalizálása érdekében.
  • A kulcsokat soha ne tárolja egyszerű szöveges formátumban az Azure Key Vaulton kívül. A kulcsok alapértelmezés szerint nem exportálhatók az összes Key Vault-szolgáltatásban.
  • HSM-alapú kulcstípusok (RSA-HSM) használata az Azure Key Vault Premiumban és az Azure Managed HSM-ben a hardvervédelemhez és a legerősebb FIPS-szintekhez.

Engedélyezze a Microsoft Defender for Key Vaultot az Azure-beli natív, fejlett veszélyforrások elleni védelemhez az Azure Key Vaulthoz, amely további biztonságiintelligencia-réteget biztosít.

Azure-implementáció és további környezet:

AWS-útmutató: A titkosítási kulcsok biztonsága érdekében az AWS-kulcskezelő szolgáltatás (KMS) szolgáltatás az alábbi vezérlőkkel biztonságossá teheti a kulcsokat:

  • A hozzáférés-vezérlést kulcsszabályzatok (kulcsszintű hozzáférés-vezérlés) és IAM-szabályzatok (identitásalapú hozzáférés-vezérlés) használatával valósíthatja meg, hogy a minimális jogosultsági és elkülönítési alapelvek érvényesüljenek. Például győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, hogy ne férhessenek hozzá a titkosított adatokhoz, és fordítva.
  • A detektívvezérlők, például a CloudTrails használatával naplózhatja és nyomon követheti a kulcsok használatát a KMS-ben, és riasztást adhat a kritikus műveletekről.
  • A kulcsokat soha ne tárolja egyszerű szöveges formátumban a KMS-en kívül.
  • Ha a kulcsokat törölni kell, érdemes lehet letiltani a kulcsokat a KMS-ben a törlés helyett, hogy elkerülje a kulcsok véletlen törlését és az adatok titkosítási törlését.
  • Az adatok törlésekor győződjön meg arról, hogy a kulcsok nem törlődnek a tényleges adatok, a biztonsági másolatok és az archívumok törlése előtt.
  • Saját kulcs (BYOK) használatához hozzon létre kulcsokat egy helyszíni HSM-ben, és importálja őket a kulcsok élettartamának és hordozhatóságának maximalizálása érdekében.

A tanúsítványok biztonsága érdekében az AWS Tanúsítványkezelő (ACM) szolgáltatás az alábbi vezérlőkkel védheti a tanúsítványokat:

  • A hozzáférés-vezérlést erőforrásszintű szabályzatokkal és IAM-szabályzatokkal (identitásalapú hozzáférés-vezérléssel) együtt implementálhatja, hogy a minimális jogosultsági és elkülönítési elv érvényesüljön. Például győződjön meg arról, hogy a feladatok elkülönítése érvényben van a felhasználói fiókok esetében: a tanúsítványokat létrehozó felhasználói fiókok elkülönülnek azoktól a felhasználói fiókoktól, amelyek csak írásvédett hozzáférést igényelnek a tanúsítványokhoz.
  • A detektívvezérlők, például a CloudTrails használatával naplózhatja és nyomon követheti a tanúsítványok használatát az ACM-ben, és riasztást adhat a kritikus műveletekről.
  • Kövesse a KMS biztonsági útmutatóját a szolgáltatástanúsítvány-integrációhoz használt (tanúsítványkérelmekhez létrehozott) titkos kulcs védelméhez.

AWS-implementáció és további környezet:

GCP-útmutató: A titkosítási kulcsok biztonsága érdekében az alábbi vezérlőkkel biztonságossá teheti a kulcsokat a kulcskezelő szolgáltatás megkeményítésével:

  • A hozzáférés-vezérlés IAM-szerepkörökkel történő implementálása a minimális jogosultsági és elkülönítési alapelvek betartásának biztosítása érdekében. Például győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, hogy ne férhessenek hozzá a titkosított adatokhoz, és fordítva.
  • Hozzon létre egy külön kulcsgyűrűt minden projekthez, amely lehetővé teszi a kulcsokhoz való hozzáférés egyszerű kezelését és vezérlését a minimális jogosultsági ajánlott eljárásokat követve. Emellett egyszerűbbé teszi annak naplózását, hogy ki mikor melyik kulcshoz fér hozzá.
  • A kulcsok automatikus elforgatásának engedélyezése a kulcsok rendszeres frissítésének és frissítésének biztosításához. Ez segít megvédeni a potenciális biztonsági fenyegetéseket, például találgatásos támadásokat vagy rosszindulatú szereplőket, amelyek bizalmas információkhoz próbálnak hozzáférni.
  • Hozzon létre egy auditnapló-fogadót az Ön GCP KMS-környezetében zajló összes tevékenység nyomon követéséhez.

A tanúsítványok biztonsága érdekében a következő vezérlőkkel biztonságossá teheti a tanúsítványokat a GCP-tanúsítványkezelő és a hitelesítésszolgáltatói szolgáltatás megerősítésével:

  • A hozzáférés-vezérlést erőforrásszintű szabályzatokkal és IAM-szabályzatokkal (identitásalapú hozzáférés-vezérléssel) együtt implementálhatja, hogy a minimális jogosultsági és elkülönítési elv érvényesüljön. Például győződjön meg arról, hogy a feladatok elkülönítése érvényben van a felhasználói fiókok esetében: a tanúsítványokat létrehozó felhasználói fiókok elkülönülnek azoktól a felhasználói fiókoktól, amelyek csak írásvédett hozzáférést igényelnek a tanúsítványokhoz.
  • A Tanúsítványkezelőben a tanúsítványhasználat naplózásához és nyomon követéséhez használjon nyomozóvezérlőket, például a felhőnaplókat, és riasztást küld a kritikus műveletekről.
  • A Secret Manager támogatja a TLS-tanúsítvány tárolását is. A Titkos kulcskezelő biztonsági vezérlőinek implementálásához a hasonló biztonsági gyakorlatot kell követnie.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):