SEC08-BP01 Implementieren Sie eine sichere Schlüsselverwaltung - AWS Well-Architected Framework
ImplementierungsleitfadenRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC08-BP01 Implementieren Sie eine sichere Schlüsselverwaltung

Eine sichere Schlüsselverwaltung umfasst die Speicherung, Rotation, Zugriffskontrolle und Überwachung von Schlüsseldaten, die zum Schutz von Daten im Ruhezustand für Ihre Workloads erforderlich sind.

Gewünschtes Ergebnis: Ein skalierbarer, wiederholbarer und automatisierter Schlüsselverwaltungsmechanismus. Der Mechanismus sollte es ermöglichen, Zugriff mit geringsten Berechtigungen auf Schlüsseldaten zu erzwingen, und er sollte das richtige Gleichgewicht zwischen Schlüsselverfügbarkeit, Vertraulichkeit und Integrität bieten. Der Zugriff auf Schlüssel sollte überwacht werden und Schlüsseldaten sollten mit einem automatisierten Prozess rotiert werden. Schlüsseldaten sollten niemals für menschliche Identitäten zugänglich sein.

Typische Anti-Muster:

  • Personen haben Zugriff auf unverschlüsselte Schlüsseldaten.

  • Es werden benutzerdefinierte kryptografische Algorithmen erstellt.

  • Die Berechtigungen für den Zugriff auf Schlüsseldaten sind zu weit gefasst.

Vorteile der Nutzung dieser bewährten Methode: Indem Sie einen sicheren Mechanismus für die Schlüsselverwaltung für Ihre Workload einrichten, können Sie dazu beitragen, Ihre Inhalte vor unbefugtem Zugriff zu schützen. Darüber hinaus müssen möglicherweise regulatorische Anforderungen hinsichtlich der Verschlüsselung Ihrer Daten erfüllt werden. Eine effektive Schlüsselverwaltungslösung kann technische Mechanismen bereitstellen, die diesen Vorschriften zum Schutz von Schlüsseldaten entsprechen.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Viele regulatorische Anforderungen und bewährte Methoden beinhalten die Verschlüsselung von Daten im Ruhezustand als grundlegende Sicherheitskontrolle. Um diese Bedingung zu erfüllen, benötigt Ihre Workload einen Mechanismus, mit dem Schlüsseldaten, die zur Verschlüsselung Ihrer Daten im Ruhezustand verwendet werden, sicher gespeichert und verwaltet werden können.

AWS bietet AWS Key Management Service (AWS KMS) zur dauerhaften, sicheren und redundanten Aufbewahrung von Schlüsseln. AWS KMS Viele AWS Dienste lassen sich integrieren AWS KMS, um die Verschlüsselung Ihrer Daten zu unterstützen. AWS KMS verwendet FIPS 140-2 validierte Hardware-Sicherheitsmodule der Stufe 3 zum Schutz Ihrer Schlüssel. Es gibt keinen Mechanismus zum Exportieren von AWS KMS Schlüsseln im Klartext.

Bei der Bereitstellung von Workloads mit einer Strategie für mehrere Konten gilt es als bewährte Methode, AWS KMS Schlüssel in demselben Konto zu speichern wie der Workload, der sie verwendet. In diesem verteilten Modell liegt die Verantwortung für die Verwaltung der AWS KMS Schlüssel beim Anwendungsteam. In anderen Anwendungsfällen können sich Unternehmen dafür entscheiden, AWS KMS Schlüssel in einem zentralen Konto zu speichern. Diese zentralisierte Struktur erfordert zusätzliche Richtlinien, um den kontoübergreifenden Zugriff zu ermöglichen, der benötigt wird, damit das Workload-Konto auf Schlüssel zugreifen kann, die im zentralen Konto gespeichert sind. Dieses Verfahren kann jedoch in Anwendungsfällen, in denen ein einzelner Schlüssel von mehreren AWS-Konten gemeinsam genutzt wird, besser geeignet sein.

Unabhängig davon, wo das Schlüsselmaterial gespeichert ist, sollte der Zugriff auf den Schlüssel mithilfe wichtiger Richtlinien und IAM Richtlinien streng kontrolliert werden. Schlüsselrichtlinien sind die wichtigste Methode, um den Zugriff auf einen AWS KMS Schlüssel zu kontrollieren. Darüber hinaus können AWS KMS Schlüsselzuschüsse den Zugriff auf AWS Dienste ermöglichen, mit denen Daten in Ihrem Namen ver- und entschlüsselt werden können. Nehmen Sie sich Zeit, um sich mit den bewährten Methoden für die Zugriffskontrolle auf Ihre AWS KMS Schlüssel vertraut zu machen.

Es hat sich bewährt, die Verwendung von Verschlüsselungsschlüsseln zu überwachen, um ungewöhnliche Zugriffsmuster zu erkennen. Vorgänge, die mit AWS verwalteten Schlüsseln und gespeicherten, vom Kunden verwalteten Schlüsseln ausgeführt werden, AWS KMS können angemeldet werden AWS CloudTrail und sollten regelmäßig überprüft werden. Besondere Aufmerksamkeit sollte dabei der Überwachung von Schlüsselzerstörungsereignissen gelten. Um die versehentliche oder böswillige Zerstörung von Schlüsseldaten zu verhindern, werden Schlüsseldaten bei Schlüsselzerstörungsereignissen nicht sofort gelöscht. Versuche, Schlüssel zu löschen, AWS KMS unterliegen einer Wartezeit, die standardmäßig 30 Tage beträgt, sodass Administratoren Zeit haben, diese Aktionen zu überprüfen und die Anfrage gegebenenfalls rückgängig zu machen.

AWS KMS Bei den meisten AWS Diensten erfolgt die Nutzung auf eine für Sie transparente Weise. Sie müssen lediglich entscheiden, ob Sie einen AWS verwalteten oder einen vom Kunden verwalteten Schlüssel verwenden möchten. Wenn Ihr Workload die direkte Verwendung von AWS KMS zum Verschlüsseln oder Entschlüsseln von Daten erfordert, empfiehlt es sich, zum Schutz Ihrer Daten die Umschlagverschlüsselung zu verwenden. Die AWS Verschlüsselung SDK kann Ihren Anwendungen clientseitige Verschlüsselungsprimitive zur Implementierung der Umschlagverschlüsselung und Integration zur Verfügung stellen. AWS KMS

Implementierungsschritte

  1. Ermitteln Sie die geeigneten Schlüsselverwaltungsoptionen (AWS verwaltet oder vom Kunden verwaltet) für den Schlüssel.

    • AWS Bietet aus Gründen der Benutzerfreundlichkeit AWS eigene und AWS verwaltete Schlüssel für die meisten Dienste, sodass encryption-at-rest Funktionen bereitgestellt werden können, ohne dass wichtige Materialien oder wichtige Richtlinien verwaltet werden müssen.

    • Wenn Sie kundenseitig verwaltete Schlüssel verwenden, sollten Sie den Standard-Schlüsselspeicher in Betracht ziehen, um das beste Gleichgewicht zwischen Agilität, Sicherheit, Datenhoheit und Verfügbarkeit zu erzielen. Andere Anwendungsfälle erfordern möglicherweise die Verwendung von benutzerdefinierten Schlüsselspeichern mit AWS CloudHSM oder mit dem externen Schlüsselspeicher.

  2. Sehen Sie sich die Liste der Dienste an, die Sie für Ihren Workload verwenden, um zu verstehen, wie sie AWS KMS sich in den Service integrieren lassen. EC2Instances können beispielsweise verschlüsselte EBS Volumes verwenden, um zu überprüfen, ob EBS Amazon-Snapshots, die aus diesen Volumes erstellt wurden, auch mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, und um die versehentliche Offenlegung unverschlüsselter Snapshot-Daten zu verhindern.

    • Wie nutzen Dienste AWSAWS KMS

    • Ausführliche Informationen zu den Verschlüsselungsoptionen, die ein AWS Dienst bietet, finden Sie unter dem Thema Verschlüsselung im Ruhezustand im Benutzer- oder Entwicklerhandbuch für den Dienst.

  3. Implementieren AWS KMS: AWS KMS macht es Ihnen einfach, Schlüssel zu erstellen und zu verwalten und die Verwendung von Verschlüsselung für eine Vielzahl von AWS Diensten und in Ihren Anwendungen zu kontrollieren.

  4. Bedenken Sie AWS Encryption SDK: Verwenden Sie die AWS Encryption SDK AWS KMS With-Integration, wenn Ihre Anwendung Daten clientseitig verschlüsseln muss.

  5. Aktivieren Sie IAMAccess Analyzer, um die wichtigsten Richtlinien automatisch zu überprüfen und zu benachrichtigen, wenn sie zu weit gefasst sind. AWS KMS

  6. Aktivieren Sie Security Hub, um Benachrichtigungen zu erhalten, wenn falsch konfigurierte Schlüsselrichtlinien, Schlüssel mit geplanter Löschung oder Schlüssel ohne aktivierte automatische Rotation vorhanden sind.

  7. Ermitteln Sie die für Ihre AWS KMS Schlüssel geeignete Protokollierungsebene. Da Aufrufe von AWS KMS, einschließlich schreibgeschützter Ereignisse, protokolliert werden, AWS KMS können die zugehörigen CloudTrail Protokolle sehr umfangreich werden.

    • Einige Organisationen ziehen es vor, die AWS KMS Protokollierungsaktivitäten in einem separaten Protokoll zu unterteilen. Weitere Informationen finden Sie im CloudTrail Abschnitt AWS KMS APIAnrufe protokollieren mit im AWS KMS Entwicklerhandbuch.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele: