SEC08-BP01 實作安全金鑰管理 - AWS 建構良好的架構
實作指引資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC08-BP01 實作安全金鑰管理

安全金鑰管理包括儲存、輪換、存取控制及監控保護工作負載的靜態資料所需的金鑰資料。

預期成果:可擴展、可重複且自動化的金鑰管理機制。此機制應提供對金鑰資料強制執行最低權限存取的能力,並且在金鑰可用性、機密性和完整性之間提供正確的平衡。金鑰存取權應受到監控,而金鑰資料應透過自動化程序輪換。金鑰資料絕不可供真人身分存取。

常見的反模式:

  • 真人存取未加密的金鑰資料。

  • 建立自訂加密演算法。

  • 存取金鑰資料的許可過於廣泛。

建立此最佳實務的優勢:透過為工作負載建立安全的金鑰管理機制,就可以協助保護您的內容,防止未經授權的存取。此外,您可能需要依法加密您的資料。有效的金鑰管理解決方案能夠提供符合這些法規的技術機制,以保護金鑰資料。

未建立此最佳實務時的曝險等級:

實作指引

許多法規需求和最佳實務都納入了靜態資料加密做為基本的安全控制。為了符合此控制,您的工作負載須採取某種機制,以安全儲存和管理用於加密靜態資料的金鑰資料。

AWS 提供 AWS Key Management Service (AWS KMS) 為 AWS KMS 金鑰提供耐用、安全且備援的儲存。許多 AWS 服務與 整合 AWS KMS以支援資料加密。 AWS KMS 會使用 FIPS 140-2 第 3 級已驗證的硬體安全模組來保護您的金鑰。沒有以純文字匯出 AWS KMS 金鑰的機制。

使用多帳戶策略部署工作負載時,最佳實務是將 AWS KMS 金鑰保留在與使用它們的工作負載相同的帳戶中。在此分散式模型中,管理 AWS KMS 金鑰的責任由應用程式團隊承擔。在其他使用案例中,組織可以選擇將 AWS KMS 金鑰存放到集中式帳戶。此集中式結構須實施其他政策來實現跨帳戶存取權,才能讓工作負載帳戶存取儲存在集中式帳戶中的金鑰,但此結構可能較適合跨多個 AWS 帳戶共用單一金鑰的使用案例。

無論金鑰材料存放在何處,都應透過使用金鑰政策和政策來嚴格控制對金鑰的存取。 IAM金鑰政策是控制 AWS KMS 金鑰存取的主要方式。此外, AWS KMS 金鑰授予可以提供 AWS 服務的存取權,以代表您加密和解密資料。請花時間檢閱對AWS KMS 金鑰 進行存取控制的最佳實務

最佳實務是監控加密金鑰的使用情況,以偵測不尋常的存取模式。使用 AWS 中存放的受管金鑰和客戶受管金鑰執行的操作 AWS KMS 可以登入 AWS CloudTrail ,並應定期檢閱。應特別注意監控金鑰銷毀事件。為了減少意外或惡意銷毀金鑰資料的情況,金鑰銷毀事件並不會立即刪除金鑰資料。在 中刪除金鑰的嘗試 AWS KMS 會受到等待期 的限制,此期間預設為 30 天,讓管理員有時間檢閱這些動作,並在必要時復原請求。

大多數 AWS 服務 AWS KMS 使用的方式都對您透明,您唯一的要求是決定是否使用 AWS 受管金鑰或客戶受管金鑰。如果您的工作負載需要直接使用 AWS KMS 來加密或解密資料,最佳實務是使用信封加密來保護您的資料。AWS 加密SDK可以為您的應用程式提供用戶端加密基本概念,以實作信封加密並與 整合 AWS KMS。

實作步驟

  1. 判斷金鑰的適當金鑰管理選項 (AWS 受管或客戶受管)。

    • 為了方便使用, 為大多數 服務 AWS 提供 AWS 擁有和管理的 AWS 金鑰,提供 encryption-at-rest 功能,而無需管理金鑰材料或金鑰政策。

    • 使用客戶管理的金鑰時,請考慮使用預設金鑰存放區,以便在敏捷性、安全性、資料主權與可用性之間達到最佳平衡。其他使用案例可能會要求使用自訂金鑰存放區搭配 AWS CloudHSM外部金鑰存放區

  2. 檢閱您用於工作負載的服務清單,以了解 如何與 服務 AWS KMS 整合。例如,EC2執行個體可以使用加密的EBS磁碟區,驗證從這些磁碟區建立的 Amazon EBS快照也會使用客戶受管金鑰加密,並減少意外揭露未加密的快照資料。

    • AWS 服務使用方式 AWS KMS

    • 如需 AWS 服務提供的加密選項的詳細資訊,請參閱 使用者指南中的靜態加密主題或 服務的開發人員指南。

  3. 實作 AWS KMS:可讓您 AWS KMS 輕鬆建立和管理金鑰,並控制在各種 AWS 服務和應用程式中使用加密。

  4. 考慮 AWS Encryption SDK:當您的應用程式需要加密資料用戶端時,請使用 AWS Encryption SDK 搭配 AWS KMS 整合。

  5. IAM Access Analyzer 自動檢閱並通知是否有過於廣泛的 AWS KMS 金鑰政策。

  6. 啟用 Security Hub 以在金鑰政策設定錯誤、有排定要刪除的金鑰,或有未啟用自動輪替的金鑰時收到通知。

  7. 判斷適合您 AWS KMS 金鑰的記錄層級。由於記錄了對 的呼叫 AWS KMS,包括唯讀事件,因此與 相關聯的 CloudTrail 日誌 AWS KMS 可能會變得大量。

資源

相關文件:

相關影片:

相關範例: