Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SEC08-BP02 Applica la crittografia a riposo
Per i dati a riposo è necessario applicare la crittografia. La crittografia mantiene la riservatezza dei dati sensibili in caso di accesso non autorizzato o di divulgazione accidentale.
Risultato desiderato: per impostazione predefinita, si applica la crittografia ai dati privati quando sono a riposo. La crittografia aiuta a mantenere la riservatezza dei dati e fornisce un ulteriore livello di protezione contro la divulgazione o esfiltrazione intenzionale o involontaria dei dati. I dati crittografati non possono essere letti o consultati senza che siano stati prima decrittografati. Tutti i dati archiviati in modo non crittografato devono essere inventariati e controllati.
Anti-pattern comuni:
-
Non encrypt-by-default utilizza configurazioni.
-
Accesso estremamente permissivo alle chiavi di decrittografia.
-
Mancato monitoraggio dell'uso delle chiavi di crittografia e decrittografia.
-
Memorizzazione di dati non crittografati.
-
Utilizzo della stessa chiave di crittografia per tutti i dati, indipendentemente dall'uso, dal tipo e dalla classificazione dei dati stessi.
Livello di rischio associato se questa best practice non fosse adottata: elevato
Guida all'implementazione
Mappa le chiavi di crittografia in base alle classificazioni dei dati all'interno dei carichi di lavoro. Questo approccio favorisce la protezione dei dati da accessi eccessivamente permissivi in caso di utilizzo di una sola chiave di crittografia o di un numero molto ridotto di chiavi di crittografia (vedi SEC07-BP01 Comprendi il tuo schema di classificazione dei dati).
AWS Key Management Service (AWS KMS) si integra con molti AWS servizi per semplificare la crittografia dei dati inattivi. Ad esempio, in Amazon Simple Storage Service (Amazon S3) puoi impostare la crittografia predefinita su un bucket in modo che tutti nuovi oggetti vengano crittografati in automatico. Durante l'utilizzo AWS KMS, considera quanto strettamente i dati devono essere limitati. Le AWS KMS chiavi predefinite e controllate dal servizio vengono gestite e utilizzate per tuo conto da. AWS Per i dati sensibili che richiedono un accesso granulare alla chiave di crittografia sottostante, prendi in considerazione le chiavi gestite dal cliente (). CMKs Hai il pieno controlloCMKs, inclusa la rotazione e la gestione degli accessi, tramite l'uso di politiche chiave.
Inoltre, Amazon Elastic Compute Cloud (AmazonEC2) e Amazon S3 supportano l'applicazione della crittografia impostando la crittografia predefinita. È possibile utilizzarla Regole di AWS Configper verificare automaticamente che si stia utilizzando la crittografia, ad esempio per volumi Amazon Elastic Block Store (AmazonEBS), istanze Amazon Relational Database Service (RDSAmazon) e bucket Amazon S3.
AWS fornisce anche opzioni per la crittografia lato client, che consentono di crittografare i dati prima di caricarli sul cloud. AWS Encryption SDK Fornisce un modo per crittografare i dati utilizzando la crittografia a busta. Fornisci la chiave di wrapping e poi AWS Encryption SDK genera una chiave dati unica per ogni oggetto di dati che crittografa. Valuta AWS CloudHSM se hai bisogno di un modulo di sicurezza hardware a tenant singolo gestito (). HSM AWS CloudHSM consente di generare, importare e gestire chiavi crittografiche su un sistema FIPS 140-2 di livello 3 convalidato. HSM Alcuni casi d'uso AWS CloudHSM includono la protezione delle chiavi private per il rilascio di un'autorità di certificazione (CA) e l'attivazione della crittografia trasparente dei dati (TDE) per i database Oracle. Il AWS CloudHSM client SDK fornisce un software che consente di crittografare i dati lato client utilizzando le chiavi memorizzate all'interno AWS CloudHSM prima del caricamento dei dati. AWS La crittografia lato client Amazon DynamoDB consente inoltre di crittografare e firmare gli elementi prima del caricamento in una tabella DynamoDB.
Passaggi dell'implementazione
-
Applica la crittografia a riposo per Amazon S3: implementa la crittografia predefinita del bucket Amazon S3..
Configura la crittografia predefinita per i nuovi EBS volumi Amazon: specifica che desideri che tutti i EBS volumi Amazon appena creati vengano creati in forma crittografata, con la possibilità di utilizzare la chiave predefinita fornita da AWS o una chiave creata da te.
Configurazione di Amazon Machine Images crittografate (AMIs): la copia di un file esistente AMI con crittografia configurata crittograferà automaticamente i volumi root e gli snapshot.
Configura RDSla crittografia Amazon: configura la crittografia per i cluster di RDS database Amazon e gli snapshot inattivi utilizzando l'opzione di crittografia.
Crea e configura AWS KMS chiavi con politiche che limitano l'accesso ai principi appropriati per ogni classificazione di dati: ad esempio, crea una AWS KMS chiave per crittografare i dati di produzione e una chiave diversa per crittografare i dati di sviluppo o di test. Puoi anche fornire l'accesso tramite chiave ad altri. Account AWS Considera la possibilità di predisporre account diversi per gli ambienti di sviluppo e di produzione. Se l'ambiente di produzione deve decrittografare gli artefatti nell'account di sviluppo, puoi modificare la CMK politica utilizzata per crittografare gli artefatti di sviluppo per consentire all'account di produzione di decrittografare tali artefatti. L'ambiente di produzione può quindi importare i dati decrittografati per utilizzarli nella produzione.
Configura la crittografia in AWS servizi aggiuntivi: per gli altri AWS servizi che utilizzi, consulta la documentazione sulla sicurezza relativa a quel servizio per determinare le opzioni di crittografia del servizio.
Risorse
Documenti correlati:
Video correlati:
