SEC08-BP02 Appliquer le chiffrement au repos - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC08-BP02 Appliquer le chiffrement au repos

Chiffrez les données privées au repos pour préserver leur confidentialité et offrir une couche de protection supplémentaire contre la divulgation ou l’exfiltration involontaire des données. Le chiffrement protège les données de manière à ce qu’elles ne puissent pas être lues ou consultées sans être préalablement déchiffrées. Inventoriez et contrôlez les données non chiffrées afin d’atténuer les risques associés à l’exposition des données.

Résultat escompté : vous disposez de mécanismes qui chiffrent les données privées par défaut lorsqu’elles sont au repos. Ces mécanismes contribuent à préserver la confidentialité des données et offre une couche de protection supplémentaire contre la divulgation ou l’exfiltration involontaires des données. Vous maintenez un inventaire des données non chiffrées et vous comprenez les contrôles mis en place pour les protéger.

Anti-modèles courants :

  • Ne pas utiliser les configurations chiffrées par défaut.

  • Fournir un accès trop permissif aux clés de déchiffrement.

  • Ne pas surveiller l’utilisation des clés de chiffrement et de déchiffrement.

  • Stocker des données non chiffrées.

  • Utiliser la même clé de chiffrement pour toutes les données, quels que soient l’utilisation, le type et la classification des données.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Mappez les clés de chiffrement aux classifications de données dans vos charges de travail. Cette approche permet de se protéger contre un accès trop permissif lorsque vous utilisez une seule clé de chiffrement ou un très petit nombre de clés de chiffrement pour vos données (voir SEC07-BP01 Comprendre votre schéma de classification des données).

AWS Key Management Service (AWS KMS) s’intègre à de nombreux services AWS afin de faciliter le chiffrement des données au repos. Par exemple, dans Amazon Elastic Compute Cloud (Amazon EC2), vous pouvez définir un chiffrement par défaut sur les comptes pour que les nouveaux volumes EBS soient chiffrés automatiquement. Lorsque vous utilisez AWS KMS, tenez compte du degré de restriction des données. Les clés AWS KMS par défaut et contrôlées par le service sont gérées et utilisées en votre nom par AWS. Pour les données sensibles qui nécessitent un accès précis à la clé de chiffrement sous-jacente, envisagez les clés gérées par le client (CMK). Vous disposez d’un contrôle total sur les CMK, y compris la rotation et la gestion des accès grâce à l’utilisation de stratégies de clés.

En outre, des services tels qu’Amazon Simple Storage Service (Amazon S3) chiffrent désormais tous les nouveaux objets par défaut. Cette implémentation offre une sécurité renforcée sans aucun impact sur les performances.

D’autres services, comme Amazon Elastic Compute Cloud (Amazon EC2) ou Amazon Elastic File System (Amazon EFS), prennent en charge les paramètres de chiffrement par défaut. Vous pouvez également utiliser AWS Config Rules pour vérifier automatiquement que vous utilisez le chiffrement pour les volumes Amazon Elastic Block Store (Amazon EBS), les instances Amazon Relational Database Service (Amazon RDS), les compartiments Amazon S3 et d’autres services au sein de votre organisation.

AWS fournit également des options de chiffrement côté client, ce qui vous permet de chiffrer les données avant de les télécharger dans le cloud. AWS Encryption SDK fournit un moyen de chiffrer vos données à l’aide du chiffrement d’enveloppe. Vous fournissez la clé de wrapping et AWS Encryption SDK génère une clé de données unique pour chaque objet de données qu’il chiffre. Envisagez AWS CloudHSM si vous avez besoin d’un module de sécurité du matériel géré à un seul locataire (HSM). AWS CloudHSM vous permet de générer, d’importer et de gérer des clés de chiffrement sur un HSM validé FIPS 140-2 de niveau 3. Certains cas d’utilisation pour AWS CloudHSM incluent la protection des clés privées pour l’émission d’une autorité de certification (CA) et le chiffrement transparent des données (TDE) pour les bases de données Oracle. Le kit SDK client AWS CloudHSM fournit un logiciel qui vous permet de chiffrer des données côté client à l’aide de clés stockées dans AWS CloudHSM avant de télécharger vos données dans AWS. Le client de chiffrement Amazon DynamoDB vous permet également de chiffrer et de signer les éléments avant de les télécharger dans une table DynamoDB.

Étapes d’implémentation

  • Configurer le chiffrement par défaut pour les nouveaux volumes Amazon EBS : indiquez que vous souhaitez que tous les nouveaux volumes Amazon EBS soient créés sous forme chiffrée, avec la possibilité d’utiliser la clé par défaut fournie par AWS ou une clé que vous créez.

  • Configurer des Amazon Machine Images (AMI) chiffrées : la copie d’une AMI existante avec le chiffrement configuré chiffrera automatiquement les volumes racine et les instantanés.

  • Configurer le chiffrement Amazon RDS : configurez le chiffrement pour vos clusters de base de données Amazon RDS et vos instantanés au repos en activant l’option de chiffrement.

  • Créer et configurer des clés AWS KMS avec des stratégies qui limitent l’accès aux principaux appropriés pour chaque classification de données : par exemple, créez une clé AWS KMS pour chiffrer les données de production et une clé différente pour chiffrer les données de développement ou de test. Vous pouvez également fournir un accès de clé à d’autres Comptes AWS. Envisagez d’avoir différents comptes pour vos environnements de développement et de production. Si votre environnement de production a besoin de déchiffrer des artefacts dans le compte de développement, vous pouvez modifier la politique de CMK utilisée pour chiffrer les artefacts de développement afin de permettre au compte de production de déchiffrer ces artefacts. L’environnement de production peut ensuite ingérer les données déchiffrées afin de les utiliser en production.

  • Configurer le chiffrement dans des services AWS supplémentaires : pour les autres services AWS que vous utilisez, passez en revue la documentation de sécurité de ce service afin d’en déterminer les options de chiffrement.

Ressources

Documents connexes :

Vidéos connexes :