SEC08-BP01 Mise en œuvre de la gestion sécurisée des clés
La gestion sécurisée des clés inclut le stockage, la rotation, le contrôle d’accès et la surveillance des informations sur les clés nécessaires pour sécuriser les données au repos adaptées à votre charge de travail.
Résultat escompté : vous disposez d’un mécanisme de gestion de clés évolutif, reproductible et automatisé. Ce mécanisme applique un accès sur la base du moindre privilège aux éléments de clé et fournit le juste équilibre entre la disponibilité, la confidentialité et l’intégrité des clés. Vous surveillez l’accès aux clés et, si une rotation des éléments de clé est requise, vous effectuez leur rotation à l’aide d’un processus automatisé. Vous ne permettez pas à des opérateurs humains d’accéder aux éléments de clé.
Anti-modèles courants :
-
Accès humain à des informations sur les clés non chiffrées.
-
Création d’algorithmes cryptographiques personnalisés.
-
Autorisations trop larges pour accéder aux informations sur les clés.
Avantages du respect de cette bonne pratique : en établissant un mécanisme sécurisé de gestion des clés pour votre charge de travail, vous contribuez à protéger votre contenu contre tout accès non autorisé. En outre, vous pouvez être soumis à des exigences réglementaires en matière de chiffrement de vos données. Une solution efficace de gestion des clés peut fournir des mécanismes techniques conformes à ces réglementations afin de protéger les informations sur les clés.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé
Directives d’implémentation
Le chiffrement des données au repos est un contrôle de sécurité fondamental. Pour mettre en œuvre ce contrôle, votre charge de travail a besoin d’un mécanisme permettant de stocker et de gérer en toute sécurité les éléments de clé utilisés pour chiffrer vos données au repos.
AWS propose AWS Key Management Service (AWS KMS) pour fournir un stockage durable, sécurisé et redondant pour les clés AWS KMS. De nombreux services AWS s’intègrent à AWS KMS
Lorsque vous déployez des charges de travail à l’aide d’une stratégie multi-compte, vous devez conserver les clés AWS KMS dans le même compte que la charge de travail qui les utilise. Ce modèle distribué délègue la responsabilité de la gestion des clés AWS KMS à votre équipe. Dans d’autres cas d’utilisation, votre organisation peut choisir de stocker les clés AWS KMS dans un compte centralisé. Cette structure centralisée nécessite des politiques supplémentaires pour permettre l’accès intercompte requis afin que le compte de la charge de travail puisse accéder aux clés stockées dans le compte centralisé, mais elle s’applique peut-être plus aux cas d’utilisation où une seule clé est partagée entre plusieurs Comptes AWS.
Quel que soit l’endroit où les éléments de clé sont stockés, vous devez contrôler étroitement l’accès aux clés en utilisant des stratégies de clé et des politiques IAM. Les stratégies de clé constituent le principal moyen de contrôler l’accès à une clé AWS KMS. En outre, les octrois de clés AWS KMS peuvent fournir un accès aux services AWS pour chiffrer et déchiffrer les données en votre nom. Passez en revue les recommandations en matière de contrôle d’accès à vos clés AWS KMS.
Vous devez surveiller l’utilisation des clés de chiffrement afin de détecter les modèles d’accès inhabituels. Les opérations effectuées à l’aide de clés gérées par AWS et de clés gérées par le client stockées dans AWS KMS peuvent être journalisées dans AWS CloudTrail et doivent être examinées périodiquement. Portez une attention particulière à la surveillance des événements de destruction des clés. Pour limiter la destruction accidentelle ou malveillante des informations sur les clés, les événements de destruction des clés ne suppriment pas immédiatement ces informations. Les tentatives de suppression de clés dans AWS KMS sont soumises à un délai d’attente, qui est de 30 jours par défaut et de 7 jours au minimum, ce qui donne aux administrateurs le temps d’examiner ces actions et d’annuler la demande si nécessaire.
La plupart des services AWS utilisent AWS KMS de manière transparente pour vous. Vous n’avez qu’à décider si vous souhaitez utiliser une clé gérée par AWS ou une clé gérée par le client. Si votre charge de travail nécessite l’utilisation directe de AWS KMS pour chiffrer ou déchiffrer des données, vous devez utiliser le chiffrement d’enveloppe pour protéger vos données. AWS Encryption SDK peut fournir à vos applications des primitives de chiffrement côté client pour implémenter le chiffrement d’enveloppe et l’intégrer à AWS KMS.
Étapes d’implémentation
-
Déterminez les options de gestion des clés appropriées (gérées par AWS ou gérées par le client) pour la clé.
-
Pour faciliter l’utilisation, AWS propose des clés AWS qui appartiennent au client et des clés gérées par AWS pour la plupart des services. Elles fournissent une fonctionnalité de chiffrement au repos sans qu’il soit nécessaire de gérer les informations sur les clés ou les stratégies les concernant.
-
Lorsque vous utilisez des clés gérées par le client, pensez au magasin de clé par défaut afin de trouver le meilleur équilibre entre agilité, sécurité, souveraineté des données et disponibilité. D’autres cas d’utilisation peuvent nécessiter l’utilisation de magasins de clés personnalisés avec AWS CloudHSM
ou le magasin de clés externe.
-
-
Consultez la liste des services que vous utilisez pour votre charge de travail afin de comprendre comment AWS KMS s’y intègre. Par exemple, les instances EC2 peuvent utiliser des volumes EBS chiffrés. Elles vérifient ainsi que les instantanés Amazon EBS créés à partir de ces volumes sont également chiffrés à l’aide d’une clé gérée par le client et limitent la divulgation accidentelle des données instantanées non chiffrées.
-
Pour plus d’informations sur les options de chiffrement proposées par un service AWS, consultez la rubrique Chiffrement au repos dans le guide de l’utilisateur ou le guide du développeur du service.
-
Mettez en œuvre AWS KMS : AWS KMS simplifie la création et la gestion des clés et le contrôle de l’utilisation du chiffrement dans un large éventail de services AWS et dans vos applications.
-
Envisagez d’utiliser AWS Encryption SDK : utilisez AWS Encryption SDK avec l’intégration de AWS KMS lorsque votre application doit chiffrer des données côté client.
-
Activez l’Analyseur d’accès IAM pour examiner et envoyer automatiquement des notifications si les stratégies de clés AWS KMS sont trop génériques.
-
Envisagez d’utiliser des contrôles de politique personnalisés pour vérifier qu’une mise à jour de la politique de ressources n’accorde pas un accès public aux clés KMS.
-
-
Activez Security Hub pour recevoir des notifications en cas de mauvaise configuration des stratégies de clés, de clés dont la suppression est prévue ou de clés dont la rotation automatique est activée.
-
Déterminez le niveau de journalisation approprié pour vos clés AWS KMS. Étant donné que les appels à AWS KMS, y compris les événements en lecture seule, sont journalisés, les journaux CloudTrail associés à AWS KMS peuvent devenir volumineux.
-
Certaines organisations préfèrent séparer les activités de journalisation AWS KMS à un emplacement distinct. Pour plus de détails, consultez la section Journalisation des appels d’API AWS KMS avec CloudTrail du guide du développeur AWS KMS.
-
Ressources
Documents connexes :
Vidéos connexes :
Exemples connexes :