SEC08-BP01 Mise en œuvre de la gestion sécurisée des clés - AWS Well-Architected Framework

SEC08-BP01 Mise en œuvre de la gestion sécurisée des clés

La gestion sécurisée des clés inclut le stockage, la rotation, le contrôle d'accès et la surveillance des informations sur les clés nécessaires pour sécuriser les données inactives adaptées à votre charge de travail.

Résultat souhaité : Un mécanisme de gestion des clés évolutif, reproductible et automatisé. Ce mécanisme devrait permettre de faire respecter le principe du moindre privilège d'accès aux informations sur les clés et de trouver le juste équilibre entre la disponibilité des clés, la confidentialité et l'intégrité. L'accès aux clés doit être surveillé et les informations sur les clés doivent être alternées par le biais d'un processus automatisé. Les clés ne doivent jamais être accessibles aux identités humaines.

Anti-modèles courants :

  • Accès humain à des informations sur les clés non chiffrées.

  • Création d'algorithmes cryptographiques personnalisés.

  • Autorisations trop larges pour accéder aux informations sur les clés.

Avantages liés au respect de cette bonne pratique : En établissant un mécanisme sécurisé de gestion des clés pour votre charge de travail, vous contribuez à protéger votre contenu contre tout accès non autorisé. En outre, vous pouvez être soumis à des exigences réglementaires en matière de chiffrement de vos données. Une solution efficace de gestion des clés peut fournir des mécanismes techniques conformes à ces réglementations afin de protéger les informations sur les clés.

Niveau d'exposition au risque si cette bonne pratique n'est pas respectée : Élevé

Directives d'implémentation

De nombreuses exigences réglementaires et bonnes pratiques incluent le chiffrement des données au repos en tant que contrôle de sécurité fondamental. Afin de respecter ce contrôle, votre charge de travail a besoin d'un mécanisme permettant de stocker et de gérer en toute sécurité les informations sur les clés utilisées pour chiffrer vos données au repos.

AWS propose AWS Key Management Service (AWS KMS) pour fournir un stockage durable, sécurisé et redondant pour les clés AWS KMS. De nombreux services AWS s'intègrent à AWS KMS pour prendre en charge le chiffrement de vos données. AWS KMS utilise des modules de sécurité matériels validés FIPS 140-2 niveau 3 pour protéger vos clés. Il n'existe aucun mécanisme permettant d'exporter les clés AWS KMS en texte brut.

Lors du déploiement de charges de travail à l'aide d'une stratégie multi-comptes, il est conseillé de conserver les clés AWS KMS dans le même compte que la charge de travail qui les utilise. Dans ce modèle distribué, la responsabilité de la gestion des clés AWS KMS incombe à l'équipe chargée de l'application. Dans d'autres cas d'utilisation, les entreprises peuvent choisir de stocker les clés AWS KMS dans un compte centralisé. Cette structure centralisée nécessite des politiques supplémentaires pour permettre l'accès intercompte requis afin que le compte de la charge de travail puisse accéder aux clés stockées dans le compte centralisé, mais elle s'applique peut-être plus aux cas d'utilisation où une seule clé est partagée entre plusieurs Comptes AWS.

Quel que soit l'endroit où les informations sur les clés sont stockées, l'accès à la clé doit être étroitement contrôlé grâce à l'utilisation de politiques de clés et de stratégies IAM. Les politiques de clés constituent le principal moyen de contrôler l'accès à une clé AWS KMS. En outre, les octrois de clés AWS KMS peuvent donner accès à des services AWS permettant de chiffrer et de déchiffrer les données en votre nom. Prenez le temps de consulter les bonnes pratiques en matière de contrôle d'accès à vos clés AWS KMS.

Il est recommandé de surveiller l'utilisation des clés de chiffrement afin de détecter les modèles d'accès inhabituels. Les opérations effectuées à l'aide de clés gérées par AWS et de clés gérées par le client stockées dans AWS KMS peuvent être journalisées dans AWS CloudTrail et doivent être examinées périodiquement. Une attention particulière doit être accordée à la surveillance des événements de destruction des clés. Pour limiter la destruction accidentelle ou malveillante des informations sur les clés, les événements de destruction des clés ne suppriment pas immédiatement ces informations. Les tentatives de suppression de clés AWS KMS sont soumises à une période d'attente dont la durée par défaut est de 30 jours, ce qui laisse aux administrateurs le temps de vérifier ces actions et d'annuler la requête si nécessaire.

La plupart des services AWS utilisent AWS KMS de manière transparente pour vous. Vous n'avez qu'à décider si vous souhaitez utiliser une clé gérée par AWS ou une clé gérée par le client. Si votre charge de travail nécessite l'utilisation directe de AWS KMS pour chiffrer ou déchiffrer des données, il est conseillé de recourir au chiffrement d'enveloppe pour protéger vos données. Le kit SDK AWS Encryption peut fournir à vos applications des primitives de chiffrement côté client pour implémenter le chiffrement d'enveloppe et l'intégrer à AWS KMS.

Étapes d'implémentation

  1. Déterminez les options appropriées de gestion des clés (gérées par AWS ou par le client).

    • Pour faciliter l'utilisation, AWS propose des clés AWS qui appartiennent au client et des clés gérées par AWS pour la plupart des services. Elles fournissent une fonctionnalité de chiffrement au repos sans qu'il soit nécessaire de gérer les informations sur les clés ou les politiques les concernant.

    • Lorsque vous utilisez des clés gérées par le client, pensez au key store par défaut afin de trouver le meilleur équilibre entre agilité, sécurité, souveraineté des données et disponibilité. D'autres cas d'utilisation peuvent nécessiter l'utilisation de key stores personnalisés avec AWS CloudHSM ou le key store externe.

  2. Consultez la liste des services que vous utilisez pour votre charge de travail afin de comprendre comment AWS KMS s'y intègre. Par exemple, les instances EC2 peuvent utiliser des volumes EBS chiffrés. Elles vérifient ainsi que les instantanés Amazon EBS créés à partir de ces volumes sont également chiffrés à l'aide d'une clé gérée par le client et limitent la divulgation accidentelle des données instantanées non chiffrées.

    • Comment les services AWS utilisent AWS KMS

    • Pour obtenir des informations détaillées sur les options de chiffrement proposées par un service AWS, consultez la rubrique Chiffrement au repos du guide de l'utilisateur ou du guide du développeur du service.

  3. Mettez en œuvre AWS KMS : AWS KMS simplifie la création et la gestion des clés et le contrôle de l'utilisation du chiffrement dans un large éventail de services AWS et dans vos applications.

  4. Envisagez AWS Encryption SDK : utilisez le kit AWS Encryption SDK avec l'intégration AWS KMS lorsque votre application doit chiffrer des données côté client.

  5. Activez IAM Access Analyzer pour examiner et envoyer automatiquement des notifications si les politiques des clés AWS KMS sont trop génériques.

  6. Activez Security Hub pour recevoir des notifications en cas de mauvaise configuration des politiques relatives aux clés, de clés dont la suppression est prévue ou de clés dont la rotation automatique est activée.

  7. Déterminez le niveau de journalisation approprié pour vos clés AWS KMS. Étant donné que les appels à AWS KMS, y compris les événements en lecture seule, sont journalisés, les journaux CloudTrail associés à AWS KMS peuvent devenir volumineux.

Ressources

Documents connexes :

Vidéos connexes :

Exemples connexes :