SEC08-BP02 Verschlüsselung im Ruhezustand erzwingen

Sie sollten die Verwendung der Verschlüsselung von Daten im Ruhezustand erzwingen. Durch die Verschlüsselung wird die Vertraulichkeit sensibler Daten im Falle eines unautorisierten Zugriffs oder einer unbeabsichtigten Offenlegung gewahrt.

Gewünschtes Ergebnis: Private Daten sollten standardmäßig im Ruhezustand verschlüsselt werden. Die Verschlüsselung wahrt die Vertraulichkeit der Daten und bietet eine zusätzliche Schutzebene gegen beabsichtigte oder unbeabsichtigte Datenoffenlegung oder Exfiltration. Verschlüsselte Daten können ohne vorherige Entschlüsselung nicht gelesen oder genutzt werden. Alle unverschlüsselt gespeicherten Daten sollten inventarisiert und kontrolliert werden.

Typische Anti-Muster:

• Konfigurationen werden nicht verwendet. encrypt-by-default

• Bereitstellung von Zugriffsmöglichkeiten mit zu vielen Berechtigungen für Entschlüsselungsschlüssel

• fehlende Überwachung der Ver- und Entschlüsselungsschlüssel

• Speichern von Daten ohne Verschlüsselung

• Verwendung desselben Verschlüsselungsschlüssels für alle Daten, ohne Berücksichtigung von Datennutzung, Typen und Klassifizierung

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Ordnen Sie Datenklassifizierungen in Ihren Workloads Verschlüsselungsschlüssel zu. Dieser Ansatz schützt vor Zugriff mit zu vielen Berechtigungen, wenn Sie entweder einen einzelnen Zugriffsschlüssel oder eine sehr kleine Anzahl von Verschlüsselungsschlüsseln für Ihre Daten verwenden (siehe SEC07-BP01 Verstehen Sie Ihr Datenklassifizierungsschema).

AWS Key Management Service (AWS KMS) lässt sich in viele AWS Dienste integrieren, um die Verschlüsselung Ihrer Daten im Ruhezustand zu vereinfachen. In Amazon Simple Storage Service (Amazon S3) können Sie beispielsweise die Standardverschlüsselung für einen Bucket festlegen, sodass neue Objekte automatisch verschlüsselt werden. Beachten Sie bei der Verwendung AWS KMS, wie stark die Daten eingeschränkt werden müssen. Standard- und dienstgesteuerte AWS KMS Schlüssel werden in Ihrem Namen von AWS verwaltet und verwendet. Bei sensiblen Daten, die einen detaillierten Zugriff auf den zugrunde liegenden Verschlüsselungsschlüssel erfordern, sollten Sie vom Kunden verwaltete Schlüssel () in Betracht ziehen. CMKs Mithilfe von Schlüsselrichtlinien haben Sie die volle Kontrolle über CMKs die Rotation und die Zugriffsverwaltung.

Darüber hinaus unterstützen Amazon Elastic Compute Cloud (AmazonEC2) und Amazon S3 die Durchsetzung der Verschlüsselung, indem sie die Standardverschlüsselung festlegen. Sie können AWS-Config-Regelndamit automatisch überprüfen, ob Sie Verschlüsselung verwenden, z. B. für Amazon Elastic Block Store (AmazonEBS) -Volumes, Amazon Relational Database Service (AmazonRDS) -Instances und Amazon S3 S3-Buckets.

AWS bietet auch Optionen für die clientseitige Verschlüsselung, sodass Sie Daten verschlüsseln können, bevor Sie sie in die Cloud hochladen. Das AWS Encryption SDK bietet eine Möglichkeit, Ihre Daten mithilfe der Umschlagverschlüsselung zu verschlüsseln. Sie geben den Umschließungsschlüssel an und der AWS Encryption SDK generiert einen eindeutigen Datenschlüssel für jedes Datenobjekt, das er verschlüsselt. Überlegen Sie AWS CloudHSM , ob Sie ein verwaltetes Hardware-Sicherheitsmodul für einen Mandanten benötigen ()HSM. AWS CloudHSM ermöglicht Ihnen die Generierung, den Import und die Verwaltung kryptografischer Schlüssel auf einem FIPS 140-2-validierten Level 3-Standard. HSM Zu den Anwendungsfällen AWS CloudHSM gehören der Schutz privater Schlüssel für die Ausstellung einer Zertifizierungsstelle (CA) und die Aktivierung der transparenten Datenverschlüsselung (TDE) für Oracle-Datenbanken. Der AWS CloudHSM Client SDK bietet Software, mit der Sie Daten clientseitig mit Schlüsseln verschlüsseln können, die im Client gespeichert sind, AWS CloudHSM bevor Sie Ihre Daten hochladen. AWS Der Amazon DynamoDB Encryption Client ermöglicht darüber hinaus das Verschlüsseln und Signieren von Elementen vor dem Laden in eine DynamoDB-Tabelle.

Implementierungsschritte

• Erzwingen der Verschlüsselung im Ruhezustand für Amazon S3: Implementieren Sie die Standardverschlüsselung für einen Amazon-S3-Bucket.

  Standardverschlüsselung für neue EBS Amazon-Volumes konfigurieren: Geben Sie an, dass alle neu erstellten EBS Amazon-Volumes in verschlüsselter Form erstellt werden sollen, mit der Option, den von bereitgestellten Standardschlüssel AWS oder einen von Ihnen erstellten Schlüssel zu verwenden.

  Verschlüsselte Amazon Machine Images konfigurieren (AMIs): Beim Kopieren eines vorhandenen Images AMI mit konfigurierter Verschlüsselung werden Root-Volumes und Snapshots automatisch verschlüsselt.

  RDSAmazon-Verschlüsselung konfigurieren: Konfigurieren Sie die Verschlüsselung für Ihre RDS Amazon-Datenbank-Cluster und Snapshots im Ruhezustand mithilfe der Verschlüsselungsoption.

  Erstellen und konfigurieren Sie AWS KMS Schlüssel mit Richtlinien, die den Zugriff auf die entsprechenden Prinzipale für jede Datenklassifizierung einschränken: Erstellen Sie beispielsweise einen AWS KMS Schlüssel für die Verschlüsselung von Produktionsdaten und einen anderen Schlüssel für die Verschlüsselung von Entwicklungs- oder Testdaten. Sie können anderen auch Schlüsselzugriff gewähren. AWS-Konten Ziehen Sie die Nutzung verschiedener Konten für Ihre Entwicklungs- und Produktionsumgebungen in Betracht. Wenn Ihre Produktionsumgebung Artefakte im Entwicklungskonto entschlüsseln muss, können Sie die zum Verschlüsseln der Entwicklungsartefakte verwendete CMK Richtlinie so bearbeiten, dass das Produktionskonto diese Artefakte entschlüsseln kann. Die Produktionsumgebung kann dann die entschlüsselten Daten zur Verwendung in der Produktion einlesen.

  Konfigurieren Sie die Verschlüsselung in zusätzlichen AWS Diensten: Lesen Sie für andere AWS Dienste, die Sie verwenden, in der Sicherheitsdokumentation für diesen Dienst nach, um die Verschlüsselungsoptionen des Dienstes zu ermitteln.

Ressourcen

Zugehörige Dokumente:

• AWS Crypto Tools

• AWS Encryption SDK

• AWS KMS Whitepaper zu kryptografischen Details

• AWS Key Management Service

• Kryptografische AWS -Services und -Tools

• EBSAmazon-Verschlüsselung

• Standardverschlüsselung für EBS Amazon-Volumes

• RDSAmazon-Ressourcen verschlüsseln

• Wie aktiviere ich die Standardverschlüsselung für einen Amazon-S3-Bucket?

• Schützen von Amazon-S3-Daten durch Verschlüsselung

Zugehörige Videos:

• Wie funktioniert Verschlüsselung in AWS

• Sicherung Ihres Blockspeichers auf AWS