SEC08-BP02 Aplique criptografia em repouso

O uso de criptografia para dados em repouso é indispensável. A criptografia mantém a confidencialidade dos dados sigilosos em caso de acesso não autorizado ou divulgação acidental.

Resultado desejado: os dados privados devem ser criptografados por padrão quando em repouso. A criptografia ajuda a manter a confidencialidade dos dados e oferece uma camada adicional de proteção contra a divulgação intencional ou acidental ou exfiltração de dados. Os dados criptografados não podem ser lidos nem acessados sem ser descriptografados primeiro. Todos os dados armazenados não criptografados devem ser inventariados e controlados.

Práticas comuns que devem ser evitadas:

Não está usando encrypt-by-default configurações.
Conceder acesso excessivamente permissivo para chaves de descriptografia.
Não monitorar o uso de chaves de criptografia e descriptografia.
Armazenar dados não criptografados.
Utilizar a mesma chave de criptografia para todos os dados, seja qual for o uso, os tipos e a classificação de dados.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Mapeie as chaves de criptografia às classificações de dados em suas workloads. Essa abordagem ajuda a proteger contra o acesso excessivamente permissivo ao usar uma única chave de criptografia ou um número muito pequeno de chaves de criptografia para seus dados (consulte SEC07-BP01 Entenda seu esquema de classificação de dados).

AWS Key Management Service (AWS KMS) se integra a vários AWS serviços para facilitar a criptografia de seus dados em repouso. Por exemplo, no Amazon Simple Storage Service (Amazon S3), é possível definir a criptografia padrão em um bucket para que todos os novos objetos sejam criptografados automaticamente. Ao usar AWS KMS, considere a rigidez com que os dados precisam ser restritos. AWS KMS As chaves padrão e controladas pelo serviço são gerenciadas e usadas em seu nome pelo. AWS Para dados confidenciais que exigem acesso refinado à chave de criptografia subjacente, considere as chaves gerenciadas pelo cliente (). CMKs Você tem controle totalCMKs, incluindo rotação e gerenciamento de acesso por meio do uso das principais políticas.

Além disso, o Amazon Elastic Compute Cloud (AmazonEC2) e o Amazon S3 oferecem suporte à aplicação da criptografia definindo a criptografia padrão. Você pode usar Regras do AWS Configpara verificar automaticamente se está usando criptografia, por exemplo, para volumes do Amazon Elastic Block Store (AmazonEBS), instâncias do Amazon Relational Database Service (RDSAmazon) e buckets do Amazon S3.

AWS também fornece opções para criptografia do lado do cliente, permitindo que você criptografe dados antes de enviá-los para a nuvem. AWS Encryption SDK Ele fornece uma maneira de criptografar seus dados usando criptografia de envelope. Você fornece a chave de empacotamento e AWS Encryption SDK gera uma chave de dados exclusiva para cada objeto de dados que ela criptografa. Considere AWS CloudHSM se você precisa de um módulo gerenciado de segurança de hardware de inquilino único ()HSM. AWS CloudHSM permite gerar, importar e gerenciar chaves criptográficas em um FIPS 140-2 de nível 3 validado. HSM Alguns casos de uso AWS CloudHSM incluem proteger chaves privadas para emitir uma autoridade de certificação (CA) e ativar a criptografia de dados transparente (TDE) para bancos de dados Oracle. O AWS CloudHSM cliente SDK fornece software que permite criptografar dados do lado do cliente usando chaves armazenadas nele AWS CloudHSM antes de fazer o upload de seus dados. AWS O Amazon DynamoDB Encryption Client também possibilita criptografar e assinar itens antes de fazer upload para uma tabela do DynamoDB.

Etapas de implementação

Aplique criptografia em repouso para o Amazon S3: implemente a criptografia padrão do bucket do Amazon S3.

Configure a criptografia padrão para novos EBS volumes da Amazon: especifique que você deseja que todos os EBS volumes recém-criados da Amazon sejam criados de forma criptografada, com a opção de usar a chave padrão fornecida por AWS ou uma chave criada por você.

Configurar imagens de máquina da Amazon criptografadas (AMIs): copiar uma existente AMI com a criptografia configurada criptografará automaticamente os volumes raiz e os snapshots.

Configure a RDScriptografia da Amazon: configure a criptografia para seus clusters RDS de banco de dados da Amazon e snapshots em repouso usando a opção de criptografia.

Crie e configure AWS KMS chaves com políticas que limitam o acesso aos principais apropriados para cada classificação de dados: por exemplo, crie uma AWS KMS chave para criptografar dados de produção e uma chave diferente para criptografar dados de desenvolvimento ou teste. Você também pode fornecer acesso chave a outros Contas da AWS. Considere ter contas diferentes para seus ambientes de desenvolvimento e produção. Se seu ambiente de produção precisar descriptografar artefatos na conta de desenvolvimento, você poderá editar a CMK política usada para criptografar os artefatos de desenvolvimento para dar à conta de produção a capacidade de descriptografar esses artefatos. O ambiente de produção pode, então, ingerir os dados descriptografados para uso na produção.

Configure a criptografia em AWS serviços adicionais: para outros AWS serviços que você usa, revise a documentação de segurança desse serviço para determinar as opções de criptografia do serviço.

Recursos

Documentos relacionados:

Vídeos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC08-BP01 Implemente o gerenciamento seguro de chaves

SEC08-BP03 Automatize a proteção de dados em repouso