Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SEC08-BP02 Appliquer le chiffrement au repos
Vous devez appliquer l’utilisation du chiffrement pour les données au repos. Le chiffrement permet de préserver la confidentialité des données sensibles en cas d’accès non autorisé ou de divulgation accidentelle.
Résultat souhaité : les données privées doivent être chiffrées par défaut lorsqu’elles sont au repos. Le chiffrement permet de préserver la confidentialité des données et offre une protection supplémentaire contre la divulgation ou l’exfiltration intentionnelle ou involontaire des données. Les données chiffrées ne peuvent pas être lues ni consultées si elles n’ont pas été déchiffrées au préalable. Toutes les données stockées non chiffrées doivent être inventoriées et contrôlées.
Anti-modèles courants :
-
Je n'utilise pas de encrypt-by-default configurations.
-
Fournir un accès trop permissif aux clés de déchiffrement.
-
Ne pas surveiller l’utilisation des clés de chiffrement et de déchiffrement.
-
Stocker des données non chiffrées.
-
Utiliser la même clé de chiffrement pour toutes les données, quels que soient l’utilisation, le type et la classification des données.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé
Directives d’implémentation
Mappez les clés de chiffrement aux classifications de données dans vos charges de travail. Cette approche permet de se protéger contre un accès trop permissif lorsque vous utilisez une seule clé de chiffrement ou un très petit nombre de clés de chiffrement pour vos données (voir SEC07-BP01 Comprenez votre schéma de classification des données).
AWS Key Management Service (AWS KMS) s'intègre à de nombreux AWS services pour faciliter le chiffrement de vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un chiffrement par défaut sur un compartiment pour que les nouveaux objets soient chiffrés automatiquement. Lors de l'utilisation AWS KMS, considérez dans quelle mesure les données doivent être limitées. Les AWS KMS clés par défaut et contrôlées par le service sont gérées et utilisées en votre nom par. AWS Pour les données sensibles qui nécessitent un accès précis à la clé de chiffrement sous-jacente, pensez aux clés gérées par le client ()CMKs. Vous en avez le contrôle totalCMKs, y compris la rotation et la gestion des accès grâce à l'utilisation de politiques clés.
En outre, Amazon Elastic Compute Cloud (AmazonEC2) et Amazon S3 prennent en charge l'application du chiffrement en définissant le chiffrement par défaut. Vous pouvez l'utiliser AWS Config Rulespour vérifier automatiquement que vous utilisez le chiffrement, par exemple pour les volumes Amazon Elastic Block Store (AmazonEBS), les instances Amazon Relational Database Service (RDSAmazon) et les compartiments Amazon S3.
AWS propose également des options de chiffrement côté client, vous permettant de chiffrer les données avant de les télécharger dans le cloud. AWS Encryption SDK Il fournit un moyen de chiffrer vos données à l'aide du chiffrement d'enveloppe. Vous fournissez la clé d'encapsulation, puis vous AWS Encryption SDK générez une clé de données unique pour chaque objet de données crypté. Déterminez AWS CloudHSM si vous avez besoin d'un module de sécurité matérielle géré par un seul locataire (HSM). AWS CloudHSM vous permet de générer, d'importer et de gérer des clés cryptographiques validées FIPS 140-2 de niveau 3. HSM AWS CloudHSM Parmi les cas d'utilisation, citons la protection des clés privées pour l'émission d'une autorité de certification (CA) et l'activation du chiffrement transparent des données (TDE) pour les bases de données Oracle. Le AWS CloudHSM client SDK fournit un logiciel qui vous permet de chiffrer les données côté client à l'aide de clés stockées à l'intérieur AWS CloudHSM avant de les télécharger. AWS Le client de chiffrement Amazon DynamoDB vous permet également de chiffrer et de signer les éléments avant de les télécharger dans une table DynamoDB.
Étapes d’implémentation
-
Imposer le chiffrement au repos pour Amazon S3 : implémentez le chiffrement par défaut des compartiments Amazon S3.
Configurez le chiffrement par défaut pour les nouveaux EBS volumes Amazon : spécifiez que vous souhaitez que tous les EBS volumes Amazon nouvellement créés soient créés sous forme cryptée, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez.
Configurer des images Amazon Machine chiffrées (AMIs) : la copie d'une image existante AMI avec le chiffrement configuré chiffrera automatiquement les volumes racines et les instantanés.
Configurer RDSle chiffrement Amazon : configurez le chiffrement pour vos clusters de RDS bases de données Amazon et vos instantanés au repos à l'aide de l'option de chiffrement.
Créez et configurez des AWS KMS clés avec des politiques qui limitent l'accès aux principes appropriés pour chaque classification de données : par exemple, créez une AWS KMS clé pour chiffrer les données de production et une clé différente pour chiffrer les données de développement ou de test. Vous pouvez également fournir un accès clé à d'autres Comptes AWS. Envisagez d’avoir différents comptes pour vos environnements de développement et de production. Si votre environnement de production doit déchiffrer des artefacts dans le compte de développement, vous pouvez modifier la CMK politique utilisée pour chiffrer les artefacts de développement afin de permettre au compte de production de les déchiffrer. L’environnement de production peut ensuite ingérer les données déchiffrées afin de les utiliser en production.
Configurer le chiffrement dans des AWS services supplémentaires : pour les autres AWS services que vous utilisez, consultez la documentation de sécurité de ce service afin de déterminer les options de chiffrement du service.
Ressources
Documents connexes :
Vidéos connexes :
