SEC08-BP02 Aplicar criptografia em repouso - Pilar de segurança

SEC08-BP02 Aplicar criptografia em repouso

Criptografe os dados privados em repouso para manter a confidencialidade e oferecer uma camada adicional de proteção contra a divulgação e exfiltração acidentais dos dados. A criptografia protege os dados para que não possam ser lidos nem acessados sem ser descriptografados primeiro. Faça o inventário e controle dados não criptografados para mitigar os riscos associados à exposição de dados.

Resultado desejado: é possível ter mecanismos que criptografam os dados privados por padrão quando em repouso. Esses mecanismos ajudam a manter a confidencialidade dos dados e oferecem uma camada adicional de proteção contra a divulgação ou exfiltração não intencional dos dados. Você mantém um inventário de dados não criptografados e compreende os controles que existem para protegê-los.

Práticas comuns que devem ser evitadas:

  • Não utilizar configurações de criptografia por padrão.

  • Conceder acesso excessivamente permissivo para chaves de descriptografia.

  • Não monitorar o uso de chaves de criptografia e descriptografia.

  • Armazenar dados não criptografados.

  • Utilizar a mesma chave de criptografia para todos os dados, seja qual for o uso, os tipos e a classificação de dados.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Mapeie as chaves de criptografia às classificações de dados em suas workloads. Essa abordagem ajuda a proteger contra o acesso excessivamente permissivo ao usar uma única chave de criptografia ou um número muito pequeno de chaves de criptografia para seus dados (consulte SEC07-BP01 Compreender seu esquema de classificação de dados).

O AWS Key Management Service (AWS KMS) integra-se a muitos serviços da AWS para facilitar a criptografia de seus dados em repouso. Por exemplo, no Amazon Elastic Compute Cloud (Amazon EC2), é possível definir a criptografia padrão nas contas para que os novos volumes do EBS sejam criptografados automaticamente. Ao utilizar o AWS KMS, considere o nível de restrição necessário para os dados. Chaves do AWS KMS controladas por serviço e padrão são gerenciadas e utilizadas em seu nome pelo AWS. Para dados sigilosos que exijam acesso refinado à chave de criptografia subjacente, considere chaves gerenciadas pelo cliente (CMKs). Você tem total controle sobre as CMKs, como gerenciamento de rotação e acesso pelo uso de políticas de chave.

Além disso, serviços como o Amazon Simple Storage Service (Amazon S3) agora criptografam todos os novos objetos por padrão. Essa implementação fornece segurança aprimorada sem impacto no desempenho.

Outros serviços, como o Amazon Elastic Compute Cloud (Amazon EC2) ou o Amazon Elastic File System (Amazon EFS), oferecem suporte às configurações de criptografia padrão. Você também pode usar o Regras do AWS Config para verificar automaticamente se está usando criptografia para volumes do Amazon Elastic Block Store (Amazon EBS), instâncias do Amazon Relational Database Service (Amazon RDS), buckets do Amazon S3 e outros serviços na organização.

A AWS também oferece operações de criptografia do lado do cliente, possibilitando que você criptografe os dados antes de fazer seu upload para a nuvem. O AWS Encryption SDK fornece uma maneira de criptografar seus dados usando criptografia envelopada. Você fornece a chave de encerramento e o AWS Encryption SDK gera uma chave de dados exclusiva para cada objeto de dados que ele criptografa. Considere utilizar o AWS CloudHSM se precisar de um módulo de segurança de hardware de um locatário (HSM) gerenciado. O AWS CloudHSM possibilita gerar, importar e gerenciar chaves criptográficas em um HSM validado de nível 3 FIPS 140-2. Alguns casos de uso do AWS CloudHSM incluem proteger chaves privadas para emitir uma autoridade de certificado (CA) e ativar a criptografia de dados transparente (TDE) para bancos de dados Oracle. O AWS CloudHSM Client SDK oferece software que possibilita criptografar dados do lado do cliente com chaves armazenadas no AWS CloudHSM antes de fazer upload de seus dados para AWS. O Amazon DynamoDB Encryption Client também possibilita criptografar e assinar itens antes de fazer upload para uma tabela do DynamoDB.

Etapas de implementação

  • Configure a criptografia padrão para novos volumes do Amazon EBS: especifique que você deseja que todos os volumes do Amazon EBS recém-criados sejam criados em formato criptografado, com a opção de usar a chave padrão fornecida pela AWS ou uma chave que você criar.

  • Configure imagens de máquina da Amazon (AMIs) criptografadas: copiar uma AMI existente com a criptografia configurada criptografará automaticamente os volumes raiz e snapshots.

  • Configure a criptografia do Amazon RDS: configure a criptografia para seus clusters de banco de dados do Amazon RDS e snapshots em repouso usando a opção de criptografia.

  • Crie e configure chaves do AWS KMS com políticas que limitam o acesso das entidades principais apropriadas para cada classificação de dados: por exemplo, crie uma chave do AWS KMS para criptografar dados de produção e uma chave diferente para criptografar dados de desenvolvimento ou teste. Você também pode conceder acesso de chave a outras Contas da AWS. Considere ter contas diferentes para seus ambientes de desenvolvimento e produção. Se seu ambiente de produção precisar descriptografar artefatos na conta de desenvolvimento, você poderá editar a política de CMK utilizada para criptografar os artefatos de desenvolvimento a fim de conferir à conta de produção a capacidade de descriptografar esses artefatos. O ambiente de produção pode, então, ingerir os dados descriptografados para uso na produção.

  • Configure a criptografia em serviços da AWS adicionais: para outros serviços da AWS que você usa, revise a documentação de segurança desse serviço para determinar as opções de criptografia do serviço.

Recursos

Documentos relacionados:

Vídeos relacionados: