SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand - Säule der Sicherheit

SEC08-BP02 Erzwingen der Verschlüsselung im Ruhezustand

Verschlüsseln Sie private Daten im Ruhezustand, um die Vertraulichkeit zu wahren und eine zusätzliche Schutzebene hinsichtlich der unbeabsichtigten Offenlegung oder Exfiltration der Daten bereitzustellen. Die Verschlüsselung schützt die Daten, sodass sie ohne vorherige Entschlüsselung weder gelesen noch verwendet werden können. Inventarisieren und kontrollieren Sie unverschlüsselte Daten, um die mit einer Offenlegung der Daten verbundenen Risiken zu minimieren.

Gewünschtes Ergebnis: Sie verfügen über Mechanismen, die private Daten im Ruhezustand standardmäßig verschlüsseln. Diese Mechanismen helfen, die Vertraulichkeit der Daten zu wahren und bieten eine zusätzliche Schutzebene hinsichtlich der unbeabsichtigten Offenlegung oder Exfiltration der Daten. Sie führen ein Inventar unverschlüsselter Daten und kennen die Kontrollmechanismen, die zum Schutz dieser Daten eingerichtet wurden.

Typische Anti-Muster:

  • keine Verwendung von Konfigurationen mit standardmäßiger Verschlüsselung

  • Bereitstellung von Zugriffsmöglichkeiten mit zu vielen Berechtigungen für Entschlüsselungsschlüssel

  • fehlende Überwachung der Ver- und Entschlüsselungsschlüssel

  • Speichern von Daten ohne Verschlüsselung

  • Verwendung desselben Verschlüsselungsschlüssels für alle Daten, ohne Berücksichtigung von Datennutzung, Typen und Klassifizierung

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Ordnen Sie Datenklassifizierungen in Ihren Workloads Verschlüsselungsschlüssel zu. Dieser Ansatz schützt vor Zugriff mit zu vielen Berechtigungen, wenn Sie entweder einen einzelnen Zugriffsschlüssel oder eine sehr kleine Anzahl von Verschlüsselungsschlüsseln für Ihre Daten verwenden (siehe SEC07-BP01 Verstehen Ihres Schemas zur Datenklassifizierung).

AWS Key Management Service (AWS KMS) kann in viele AWS-Services integriert werden, um die Verschlüsselung Ihrer Daten im Ruhezustand zu vereinfachen. In Amazon Elastic Compute Cloud (Amazon EC2) können Sie beispielsweise die Standardverschlüsselung von Konten festlegen, sodass neue EBS-Volumes automatisch verschlüsselt werden. Überlegen Sie sich bei Verwendung von AWS KMS, wie stark die Daten eingeschränkt werden müssen. Standardmäßige und servicegesteuerte AWS KMS-Schlüssel werden von AWS für Sie verwaltet und verwendet. Ziehen Sie für sensible Daten, die einen differenzierten Zugriff auf den zugrunde liegenden Verschlüsselungsschlüssel erfordern, kundenseitig verwaltete Schlüssel (CMKs) in Betracht. Sie haben die vollständige Kontrolle über CMKs, einschließlich Rotation und Zugriffsverwaltung mithilfe von Schlüsselrichtlinien.

Darüber hinaus verschlüsseln Dienste wie Amazon Simple Storage Service (Amazon S3) jetzt standardmäßig alle neuen Objekte. Diese Implementierung bietet eine höhere Sicherheit, ohne die Leistung zu beeinträchtigen.

Andere Services, wie Amazon Elastic Compute Cloud (Amazon EC2) oder Amazon Elastic File System (Amazon EFS), unterstützen Einstellungen für die Standardverschlüsselung. Mit AWS-Config-Regeln können Sie automatisch überprüfen, ob Sie eine Verschlüsselung für Volumes in Amazon Elastic Block Store (Amazon EBS), Instances in Amazon Relational Database Service (Amazon RDS), Amazon-S3-Buckets und andere Services in Ihrer Organisation verwenden.

AWS bietet auch Optionen für die clientseitige Verschlüsselung, mit der Sie Daten vor dem Laden in die Cloud verschlüsseln können. Das AWS Encryption SDK ermöglicht die Verschlüsselung Ihrer Daten per Umschlagverschlüsselung. Sie stellen den Wrapping-Schlüssel bereit und das AWS Encryption SDK generiert einen eindeutigen Datenschlüssel für jedes verschlüsselte Datenobjekt. Ziehen Sie die Verwendung von AWS CloudHSM in Betracht, wenn Sie ein verwaltetes Single-Tenant-Hardware-Sicherheitsmodul (HSM) benötigen. Mit AWS CloudHSM können Sie kryptographische Schlüssel auf einem nach FIPS 140-2 Level 3 validierten HSM generieren, importieren und verwalten. Einige Anwendungsfälle von AWS CloudHSM umfassen den Schutz privater Schlüssel für die Ausgabe einer Zertifizierungsstelle (Certificate Authority, CA) und die Aktivierung der transparenten Datenverschlüsselung (Transparent Data Encryption, TDE) für Oracle-Datenbanken. Das AWS CloudHSM-Client-SDK bietet Software, die die clientseitige Verschlüsselung von Daten mit innerhalb von AWS CloudHSM gespeicherten Schlüsseln ermöglicht, bevor die Daten in AWS geladen werden. Der Amazon DynamoDB Encryption Client ermöglicht darüber hinaus das Verschlüsseln und Signieren von Elementen vor dem Laden in eine DynamoDB-Tabelle.

Implementierungsschritte

  • Konfigurieren der Standardverschlüsselung für neue Amazon-EBS-Volumes: Geben Sie an, dass alle neu erstellten Amazon-EBS-Volumes verschlüsselt erstellt werden sollen. Dabei können Sie den von AWS bereitgestellten Standardschlüssel oder einen von Ihnen erstellten Schlüssel verwenden.

  • Konfigurieren von verschlüsselten Amazon Machine Images (AMIs): Beim Kopieren eines vorhandenen AMI mit konfigurierter Verschlüsselung werden Stamm-Volumes und Snapshots automatisch verschlüsselt.

  • Konfigurieren der Amazon-RDS-Verschlüsselung: Konfigurieren Sie die Verschlüsselung für Ihre Amazon-RDS-Datenbank-Cluster DB-Cluster und Snapshots mithilfe der Verschlüsselungsoption.

  • Erstellen und Konfigurieren von AWS KMS-Schlüsseln mit Richtlinien, die den Zugriff auf die entsprechenden Prinzipale für die jeweilige Datenklassifizierung einschränken: Erstellen Sie beispielsweise einen AWS KMS-Schlüssel für die Verschlüsselung von Produktionsdaten und einen anderen Schlüssel für die Verschlüsselung von Entwicklungs- oder Testdaten. Sie können auch anderen AWS-Konten Schlüsselzugriff gewähren. Ziehen Sie die Nutzung verschiedener Konten für Ihre Entwicklungs- und Produktionsumgebungen in Betracht. Wenn Ihre Produktionsumgebung Artefakte im Entwicklungskonto entschlüsseln muss, können Sie die zur Verschlüsselung der Entwicklungsartefakte verwendete CMK-Richtlinie so bearbeiten, dass das Produktionskonto diese Artefakte entschlüsseln kann. Die Produktionsumgebung kann dann die entschlüsselten Daten zur Verwendung in der Produktion einlesen.

  • Konfigurieren der Verschlüsselung in zusätzlichen AWS-Services: Für andere von Ihnen verwendete AWS-Services können Sie in der zugehörigen Sicherheitsdokumentation die Verschlüsselungsoptionen des jeweiligen Service ermitteln.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos: