SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand
Sie sollten die Verwendung der Verschlüsselung von Daten im Ruhezustand erzwingen. Durch die Verschlüsselung wird die Vertraulichkeit sensibler Daten im Falle eines unautorisierten Zugriffs oder einer unbeabsichtigten Offenlegung gewahrt.
Gewünschtes Ergebnis: Private Daten sollten standardmäßig im Ruhezustand verschlüsselt werden. Die Verschlüsselung wahrt die Vertraulichkeit der Daten und bietet eine zusätzliche Schutzebene gegen beabsichtigte oder unbeabsichtigte Datenoffenlegung oder Exfiltration. Verschlüsselte Daten können ohne vorherige Entschlüsselung nicht gelesen oder genutzt werden. Alle unverschlüsselt gespeicherten Daten sollten inventarisiert und kontrolliert werden.
Typische Anti-Muster:
-
keine Verwendung von Konfigurationen mit standardmäßiger Verschlüsselung
-
Bereitstellung von Zugriffsmöglichkeiten mit zu vielen Berechtigungen für Entschlüsselungsschlüssel
-
fehlende Überwachung der Ver- und Entschlüsselungsschlüssel
-
Speichern von Daten ohne Verschlüsselung
-
Verwendung desselben Verschlüsselungsschlüssels für alle Daten, ohne Berücksichtigung von Datennutzung, Typen und Klassifizierung
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
Ordnen Sie Datenklassifizierungen in Ihren Workloads Verschlüsselungsschlüssel zu. Dieser Ansatz schützt vor Zugriff mit zu vielen Berechtigungen, wenn Sie entweder einen einzelnen Zugriffsschlüssel oder eine sehr kleine Anzahl von Verschlüsselungsschlüsseln für Ihre Daten verwenden (siehe SEC07-BP01 Verstehen Ihres Schemas zur Datenklassifizierung).
AWS Key Management Service (AWS KMS) kann in viele AWS-Services integriert werden, um die Verschlüsselung Ihrer Daten im Ruhezustand zu vereinfachen. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die Standardverschlüsselung für einen Bucket festlegen, sodass neue Objekte automatisch verschlüsselt werden. Überlegen Sie sich bei Verwendung von AWS KMS, wie stark die Daten eingeschränkt werden müssen. Standardmäßige und servicegesteuerte AWS KMS-Schlüssel werden von AWS für Sie verwaltet und verwendet. Ziehen Sie für sensible Daten, die einen differenzierten Zugriff auf den zugrunde liegenden Verschlüsselungsschlüssel erfordern, kundenseitig verwaltete Schlüssel (CMKs) in Betracht. Sie haben die vollständige Kontrolle über CMKs, einschließlich Rotation und Zugriffsverwaltung mithilfe von Schlüsselrichtlinien.
Darüber hinaus unterstützen Amazon Elastic Compute Cloud (Amazon EC2) und Amazon S3 die Erzwingung der Verschlüsselung durch Festlegen einer Standardverschlüsselung. Mit AWS-Config-Regeln können Sie automatisch überprüfen, ob Sie Verschlüsselung verwenden, etwa für Amazon Elastic Block Store (Amazon EBS)-Volumes, für Instances von Amazon Relational Database Service (Amazon RDS) und für Amazon-S3-Buckets.
AWS bietet auch Optionen für die clientseitige Verschlüsselung, mit der Sie Daten vor dem Laden in die Cloud verschlüsseln können. Das AWS Encryption SDK ermöglicht die Verschlüsselung Ihrer Daten per Umschlagverschlüsselung. Sie stellen den Wrapping-Schlüssel bereit und das AWS Encryption SDK generiert einen eindeutigen Datenschlüssel für jedes verschlüsselte Datenobjekt. Ziehen Sie die Verwendung von AWS CloudHSM in Betracht, wenn Sie ein verwaltetes Single-Tenant-Hardware-Sicherheitsmodul (HSM) benötigen. Mit AWS CloudHSM können Sie kryptographische Schlüssel auf einem nach FIPS 140-2 Level 3 validierten HSM generieren, importieren und verwalten. Einige Anwendungsfälle von AWS CloudHSM umfassen den Schutz privater Schlüssel für die Ausgabe einer Zertifizierungsstelle (Certificate Authority, CA) und die Aktivierung der transparenten Datenverschlüsselung (Transparent Data Encryption, TDE) für Oracle-Datenbanken. Das AWS CloudHSM-Client-SDK bietet Software, die die clientseitige Verschlüsselung von Daten mit innerhalb von AWS CloudHSM gespeicherten Schlüsseln ermöglicht, bevor die Daten in AWS geladen werden. Der Amazon DynamoDB Encryption Client ermöglicht darüber hinaus das Verschlüsseln und Signieren von Elementen vor dem Laden in eine DynamoDB-Tabelle.
Implementierungsschritte
-
Erzwingen der Verschlüsselung im Ruhezustand für Amazon S3: Implementieren Sie die Standardverschlüsselung für einen Amazon-S3-Bucket.
Konfigurieren der Standardverschlüsselung für neue Amazon-EBS-Volumes: Geben Sie an, dass alle neu erstellten Amazon-EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden.
Konfigurieren von verschlüsselten Amazon Machine Images (AMIs): Beim Kopieren eines vorhandenen AMI mit konfigurierter Verschlüsselung werden Stamm-Volumes und Snapshots automatisch verschlüsselt.
Konfigurieren der Amazon-RDS-Verschlüsselung: Konfigurieren Sie die Verschlüsselung für Ihre Amazon-RDS-Datenbank-Cluster DB-Cluster und Snapshots mithilfe der Verschlüsselungsoption.
Erstellen und Konfigurieren von AWS KMS-Schlüsseln mit Richtlinien, die den Zugriff auf die entsprechenden Prinzipale für die jeweilige Datenklassifizierung einschränken: Erstellen Sie beispielsweise einen AWS KMS-Schlüssel für die Verschlüsselung von Produktionsdaten und einen anderen Schlüssel für die Verschlüsselung von Entwicklungs- oder Testdaten. Sie können auch anderen AWS-Konten Schlüsselzugriff gewähren. Ziehen Sie die Nutzung verschiedener Konten für Ihre Entwicklungs- und Produktionsumgebungen in Betracht. Wenn Ihre Produktionsumgebung Artefakte im Entwicklungskonto entschlüsseln muss, können Sie die zur Verschlüsselung der Entwicklungsartefakte verwendete CMK-Richtlinie so bearbeiten, dass das Produktionskonto diese Artefakte entschlüsseln kann. Die Produktionsumgebung kann dann die entschlüsselten Daten zur Verwendung in der Produktion einlesen.
Konfigurieren der Verschlüsselung in zusätzlichen AWS-Services: Ermitteln Sie für andere AWS-Services, die Sie verwenden, in der zugehörigen Sicherheitsdokumentation die Verschlüsselungsoptionen des Service.
Ressourcen
Zugehörige Dokumente:
Zugehörige Videos: