SEC08-BP02 Appliquer le chiffrement au repos - AWS Well-Architected Framework

SEC08-BP02 Appliquer le chiffrement au repos

Vous devez appliquer l'utilisation du chiffrement pour les données au repos. Le chiffrement permet de préserver la confidentialité des données sensibles en cas d'accès non autorisé ou de divulgation accidentelle.

Résultat souhaité : les données privées doivent être chiffrées par défaut au repos. Le chiffrement permet de préserver la confidentialité des données et offre une protection supplémentaire contre la divulgation ou l'exfiltration intentionnelle ou involontaire des données. Les données chiffrées ne peuvent pas être lues ni consultées si elles n'ont pas été déchiffrées au préalable. Toutes les données stockées non chiffrées doivent être inventoriées et contrôlées.

Anti-modèles courants :

  • Ne pas utiliser les configurations chiffrées par défaut.

  • Fournir un accès trop permissif aux clés de déchiffrement.

  • Ne pas surveiller l'utilisation des clés de chiffrement et de déchiffrement.

  • Stocker des données non chiffrées.

  • Utiliser la même clé de chiffrement pour toutes les données, quels que soient l'utilisation, le type et la classification des données.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : élevé

Directives d'implémentation

Mappez les clés de chiffrement aux classifications de données dans vos charges de travail. Cette approche offre une protection contre les accès trop permissifs lors de l'utilisation d'une seule, ou d'un très petit nombre de clés de chiffrement pour vos données (consultez SEC07-BP01 Identifier les données au sein de votre charge de travail).

AWS Key Management Service (AWS KMS) s'intègre à de nombreux services AWS afin de faciliter le chiffrement des données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un chiffrement par défaut sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. Lorsque vous utilisez AWS KMS, tenez compte du degré de restriction des données. Les clés AWS KMS par défaut et contrôlées par le service sont gérées et utilisées en votre nom par AWS. Pour les données sensibles qui nécessitent un accès précis à la clé de chiffrement sous-jacente, envisagez les clés gérées par le client (CMK). Vous disposez d'un contrôle total sur les CMK, y compris la rotation et la gestion des accès grâce à l'utilisation de politiques de clés.

De plus, Amazon Elastic Compute Cloud (Amazon EC2) et Amazon S3 prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser AWS Config Rules pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour les volumes Amazon Elastic Block Store (Amazon EBS), les instances Amazon Relational Database Service (Amazon RDS) et les compartiments Amazon S3.

AWS fournit également des options de chiffrement côté client, ce qui vous permet de chiffrer les données avant de les télécharger dans le cloud. Le AWS Encryption SDK fournit une solution pour chiffrer vos données à l'aide du chiffrement d'enveloppe. Vous fournissez la clé de wrapping et le AWS Encryption SDK génère une clé de données unique pour chaque objet de données qu'il chiffre. Envisagez AWS CloudHSM si vous avez besoin d'un module de sécurité du matériel géré à un seul locataire (HSM). AWS CloudHSM vous permet de générer, d'importer et de gérer des clés de chiffrement sur un HSM validé FIPS 140-2 de niveau 3. Certains cas d'utilisation pour AWS CloudHSM incluent la protection des clés privées pour l'émission d'une autorité de certification (CA) et le chiffrement transparent des données (TDE) pour les bases de données Oracle. Le kit SDK client AWS CloudHSM fournit un logiciel qui vous permet de chiffrer des données côté client à l'aide de clés stockées dans AWS CloudHSM avant de télécharger vos données dans AWS. Amazon DynamoDB Encryption Client vous permet également de chiffrer et de signer les éléments avant de les télécharger dans une table DynamoDB.

Étapes d'implémentation

  • Imposez le chiffrement au report pour Amazon S3 : implémentez le chiffrement par défaut des compartiments Amazon S3.

    Configurez le chiffrement par défaut pour les nouveaux volumes Amazon EBS : indiquez que vous souhaitez que tous les nouveaux volumes Amazon EBS soient chiffrés, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez.

    Configurez des Amazon Machine Images (AMI) chiffrées : la copie d'une AMI existante avec le chiffrement activé chiffrera automatiquement les volumes racine et les instantanés.

    Configurez le chiffrement Amazon RDS : configurez le chiffrement de vos clusters de bases de données Amazon RDS et de vos instantanés au repos en utilisant l'option de chiffrement.

    Créez et configurez des clés AWS KMS avec des politiques qui limitent l'accès aux principaux appropriés pour chaque classification des données : par exemple, créez une clé AWS KMS pour chiffrer les données de production et une clé différente pour chiffrer les données de développement ou de test. Vous pouvez également fournir un accès de clé à d'autres Comptes AWS. Envisagez d'avoir différents comptes pour vos environnements de développement et de production. Si votre environnement de production a besoin de déchiffrer des artefacts dans le compte de développement, vous pouvez modifier la politique de CMK utilisée pour chiffrer les artefacts de développement afin de permettre au compte de production de déchiffrer ces artefacts. L'environnement de production peut ensuite ingérer les données déchiffrées afin de les utiliser en production.

    Configurez le chiffrement dans des services AWS supplémentaires : pour les autres services AWS que vous utilisez, consultez la documentation sur la sécurité associée aux services concernés afin de déterminer vos options de chiffrement.

Ressources

Documents connexes :

Vidéos connexes :