安全性控制:數據保護
數據保護涵蓋待用數據保護的控制、傳輸中,以及透過授權的存取機制,包括使用訪問控制、加密、密鑰管理和憑證管理來探索、分類、保護及監視敏感數據資產。
DP-1:探索、分類及標記敏感性資料
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2、SC-28 | A3.2 |
安全性原則:根據定義的敏感數據範圍,建立和維護敏感數據的清查。 使用工具來探索、分類和標記範圍內敏感數據。
Azure 指引:使用 Microsoft Purview 之類的工具,結合先前的 Azure Purview 和 Microsoft 365 合規性解決方案,以及 Azure SQL 數據探索和分類,集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 和其他位置的敏感數據。
Azure 實作和其他內容:
AWS指引:將數據從各種來源複寫至 S3 記憶體貯體,並使用 AWS Macie 掃描、分類和標記儲存在貯體中的敏感數據。 AWS Macie 可以根據自定義數據標識碼規則來偵測敏感數據,例如安全性認證、財務資訊、PHI 和 PII 數據或其他數據模式。
您也可以使用 Azure Purview 多雲端掃描連接器來掃描、分類和標記位於 S3 記憶體貯體中的敏感數據。
注意:您也可以使用 AWS 市集中的第三方企業解決方案進行數據探索分類和標記。
AWS 實作和其他內容:
GCP指引:使用Google雲端數據外洩防護等工具,集中掃描、分類和標記位於 GCP 和內部部署環境中的敏感數據。
此外,使用 Google Cloud 資料目錄 利用雲端數據外洩防護 (DLP) 掃描的結果,利用定義的標記範本來識別敏感數據。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-2:監視以敏感性資料為目標的異常和威脅
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.13 | AC-4、SI-4 | A3.2 |
安全性原則:監視敏感數據的異常狀況,例如未經授權的數據傳輸至企業可見度和控制範圍以外的位置。 這通常牽涉到監視異常活動(大型或不尋常的傳輸),這可能表示未經授權的數據外洩。
Azure 指引:使用 Azure 資訊保護 (AIP) 來監視已分類和標示的數據。
使用適用於記憶體的 Microsoft Defender、適用於 SQL 的 Microsoft Defender、適用於開放原始碼關係資料庫的 Defender Microsoft Defender,以及適用於 Cosmos DB 的 Microsoft Defender 來警示可能表示未經授權傳輸敏感數據資訊的資訊異常傳輸。
注意:如果需要符合數據外泄防護 (DLP),您可以使用來自 Azure Marketplace 的主機型 DLP 解決方案或 Microsoft 365 DLP 解決方案來強制執行偵測和/或預防控制,以防止數據外流。
Azure 實作和其他內容:
- 啟用適用於 SQL 的 Azure Defender
- 啟用適用於記憶體的 Azure Defender
- 啟用適用於 Azure Cosmos DB 的 Microsoft Defender
- 啟用適用於開放原始碼資料庫的 Microsoft Defender 並回應警示 (部分機器翻譯)
AWS指引:使用 AWS Macie 來監視已分類和標記的數據,並使用 GuardDuty 來偵測某些資源上的異常活動(S3、EC2 或 Kubernetes 或 IAM 資源)。 結果和警示可以使用 EventBridge 分級、分析及追蹤,並轉送至Microsoft Sentinel 或安全性中樞,以進行事件匯總和追蹤。
您也可以將 AWS 帳戶連線到 適用於雲端的 Microsoft Defender,以進行合規性檢查、容器安全性和端點安全性功能。
注意:如果需要符合數據外泄防護 (DLP),您可以從 AWS Marketplace 使用主機型 DLP 解決方案。
AWS 實作和其他內容:
GCP指引:使用 Google Cloud Security 命令中心/事件威脅偵測/異常偵測來警示可能表示未經授權傳輸敏感數據資訊的信息異常傳輸。
您也可以將 GCP 帳戶連線到 適用於雲端的 Microsoft Defender,以取得合規性檢查、容器安全性和端點安全性功能。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-3:加密傳輸中的敏感性資料
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
安全性原則:使用加密保護傳輸中的數據不受「頻外」攻擊(例如流量擷取)攻擊,以確保攻擊者無法輕易讀取或修改數據。
設定網路界限和服務範圍,其中傳輸加密中的數據在網路內外是強制性的。 雖然這對於私人網路的流量而言為選擇性,但對於外部和公用網路的流量而言不可或缺。
Azure 指引:在 Azure 儲存體 等服務中強制執行安全傳輸,其中內建傳輸加密功能的原生數據。
為 Web 應用程式工作負載和服務強制執行 HTTPS,方法是確保任何連線到 Azure 資源的用戶端都使用傳輸層安全性 (TLS) v1.2 或更新版本。 針對 VM 的遠端管理,請使用 SSH(適用於 Linux)或 RDP/TLS(適用於 Windows),而不是未加密的通訊協定。
針對 Azure 虛擬機器的遠端管理,請使用 SSH(適用於 Linux)或 RDP/TLS(適用於 Windows),而不是未加密的通訊協定。 如需安全的檔案傳輸,請使用 Azure 儲存體 Blob、App Service 應用程式和函式應用程式中的 SFTP/FTPS 服務,而不是使用一般 FTP 服務。
注意:傳輸中加密中的數據會針對在 Azure 資料中心之間傳輸的所有 Azure 流量啟用。 根據預設,大部分的 Azure 服務都會啟用 TLS v1.2 或更新版本。 而某些服務,例如 Azure 儲存體 和 應用程式閘道 可以在伺服器端強制執行 TLS v1.2 或更新版本。
Azure 實作和其他內容:
AWS指引:在 Amazon S3、RDS 和 CloudFront 等服務中強制執行安全傳輸,其中內建傳輸加密功能的原生數據。
藉由確保任何連線至 AWS 資源的用戶端都使用 TLS v1.2 或更新版本,強制執行 HTTPS (例如在 AWS Elastic Load Balancer 中)用於工作負載 Web 應用程式和服務(在伺服器端或用戶端上,或兩者皆為 )。
針對 EC2 實例的遠端管理,請使用 SSH(適用於 Linux)或 RDP/TLS(適用於 Windows),而不是未加密的通訊協定。 針對安全的文件傳輸,請使用 AWS Transfer SFTP 或 FTPS 服務,而不是一般 FTP 服務。
注意:AWS 資料中心之間的所有網路流量都會在實體層以透明方式加密。 使用支援的 Amazon EC2 實例類型時,跨區域間和對等互連 VPN 之間的所有流量都會在網路層以透明方式加密。 根據預設,大部分 AWS 服務都會啟用 TLS v1.2 或更新版本。 而 AWS Load Balancer 等某些服務可以在伺服器端強制執行 TLS v1.2 或更新版本。
AWS 實作和其他內容:
GCP指引:在Google Cloud Storage等服務中強制執行安全傳輸,其中內建傳輸加密功能的原生數據。
針對 Web 應用程式工作負載和服務強制執行 HTTPS,以確保任何連線到 GCP 資源的客戶端都會使用傳輸層安全性 (TLS) v1.2 或更新版本。
針對遠端管理,Google Cloud Compute Engine 會使用 SSH(適用於 Linux)或 RDP/TLS(適用於 Windows),而不是未加密的通訊協定。 如需安全的檔傳輸,請在Google Cloud Big Query 或 Cloud App Engine 等服務中使用 SFTP/FTPS 服務,而不是一般 FTP 服務。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-4:預設啟用待用資料加密
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
安全性原則:為了補充訪問控制,待用數據應受到保護,以防止使用加密的「頻外」攻擊(例如存取基礎記憶體)。 這有助於確保攻擊者無法輕易讀取或修改數據。
Azure 指引:許多 Azure 服務預設會使用服務管理的密鑰,在基礎結構層啟用待用數據加密。 這些服務管理的金鑰會代表客戶產生,每兩年自動輪替一次。
在技術上可行且預設未啟用的情況下,您可以在 Azure 服務或記憶體層級、檔案層級或資料庫層級的 VM 中啟用待用加密數據。
Azure 實作和其他內容:
AWS 指引:許多 AWS 服務預設會使用 AWS 管理的客戶主要密鑰,在基礎結構/平臺層啟用待用數據加密。 這些 AWS 管理的客戶主要密鑰會代表客戶產生,並每隔三年自動輪替一次。
在技術上可行且預設未啟用的情況下,您可以在 AWS 服務或記憶體層級、檔案層級或資料庫層級的 VM 中啟用待用數據加密。
AWS 實作和其他內容:
GCP指引:許多 Google Cloud 產品和服務預設會使用服務管理的密鑰,在基礎結構層啟用待用數據加密。 這些服務受控金鑰會代表客戶產生,並自動輪替。
在技術上可行且預設未啟用時,您可以在 GCP 服務或儲存層級、檔案層級或資料庫層級的 VM 中啟用待用加密數據。
注意:如需其他詳細數據,請參閱檔「Google 雲端服務的加密粒度」。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.11 | SC-12、SC-28 | 3.4, 3.5, 3.6 |
安全性原則:如果需要法規合規性,請定義需要客戶管理密鑰選項的使用案例和服務範圍。 使用服務中的客戶自控密鑰啟用及實作待用數據加密。
Azure 指引:Azure 也提供加密選項,使用由您自己管理的密鑰(客戶自控密鑰)為大部分服務提供加密選項。
Azure 金鑰保存庫 標準、進階和受控 HSM 會原生地與許多 Azure 服務整合,以供客戶管理的密鑰使用案例使用。 您可以使用 Azure 金鑰保存庫 來產生金鑰或自備金鑰。
不過,使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
Azure 實作和其他內容:
AWS指引:AWS 也提供加密選項,其使用由您自己管理的密鑰(儲存在 AWS 金鑰管理服務 的客戶主要金鑰)針對特定服務。
AWS 金鑰管理服務 (KMS) 與許多 AWS 服務原生整合,適用於客戶管理的客戶主要密鑰使用案例。 您可以使用 AWS 金鑰管理服務 (KMS) 來產生主要金鑰或自備金鑰。
不過,使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
AWS 實作和其他內容:
GCP 指引:Google Cloud 會針對大多數服務使用由您自己管理的密鑰(客戶管理的密鑰)來提供加密選項。
Google Cloud 金鑰管理服務 (Cloud KMS) 原生整合了許多 GCP 服務,以取得客戶管理的加密密鑰。 您可以使用雲端 KMS 建立和管理這些金鑰,並將金鑰儲存為軟體金鑰、HSM 叢集或外部金鑰。 您可以使用雲端 KMS 來產生金鑰或提供您自己的金鑰(客戶提供的加密金鑰)。
不過,使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-6:使用安全金鑰管理程序
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-28 | 3.6 |
安全性準則:記錄並實作企業密碼編譯密鑰管理標準、程式和程式,以控制密鑰生命週期。 當服務中使用客戶管理的金鑰時,請使用安全的金鑰保存庫服務來產生、散發和記憶體。 根據定義的排程輪替和撤銷密鑰,以及金鑰淘汰或洩露時。
Azure 指引:使用 Azure 金鑰保存庫 來建立及控制加密密鑰生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程,在 Azure 金鑰保存庫 和服務中輪替和撤銷您的密鑰,以及當密鑰淘汰或遭入侵時。 產生金鑰時,需要特定密碼編譯類型和最小金鑰大小。
當工作負載服務或應用程式中需要使用客戶管理的金鑰 (CMK)時,請確定您遵循最佳做法:
- 使用金鑰階層,在金鑰保存庫中產生個別的數據加密金鑰 (DEK) 與金鑰加密金鑰 (KEK)。
- 請確定金鑰會向 Azure 金鑰保存庫 註冊,並透過每個服務或應用程式中的金鑰標識碼實作。
若要將金鑰數據存留期和可移植性最大化,請將您自己的密鑰 (BYOK) 帶入服務(也就是將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫)。 請遵循建議的指導方針來執行金鑰產生和金鑰傳輸。
注意:如需 Azure 金鑰保存庫 類型和 FIPS 合規性/驗證層級的 FIPS 140-2 層級,請參閱下列內容。
- 保存庫中受軟體保護的密鑰(進階和標準 SKU):FIPS 140-2 層級 1
- 保存庫中受 HSM 保護的金鑰(進階 SKU):FIPS 140-2 層級 2
- 受控 HSM 中的 HSM 保護密鑰:FIPS 140-2 層級 3
Azure 金鑰保存庫 Premium 會在後端使用共用 HSM 基礎結構。 當您需要較高層級的密鑰安全性時,Azure 金鑰保存庫 受控 HSM 會使用專用的機密服務端點與專用 HSM。
Azure 實作和其他內容:
AWS指引:使用 AWS 金鑰管理服務 (KMS) 來建立和控制加密密鑰生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程,輪替並撤銷 KMS 和服務中的金鑰,以及當密鑰淘汰或洩露時。
當需要在工作負載服務或應用程式中使用客戶管理的客戶主要密鑰時,請確定您遵循最佳做法:
- 使用金鑰階層,在 KMS 中產生個別的數據加密金鑰 (DEK) 與金鑰加密金鑰 (KEK)。
- 請確定金鑰會向 KMS 註冊,並透過每個服務或應用程式中的 IAM 原則實作。
若要將金鑰數據存留期和可移植性最大化,請將您自己的密鑰 (BYOK) 帶入服務(也就是將受 HSM 保護的金鑰從內部部署 HSM 匯入 KMS 或雲端 HSM)。 請遵循建議的指導方針來執行金鑰產生和金鑰傳輸。
注意:AWS KMS 會在後端使用共用 HSM 基礎結構。 當您需要管理自己的金鑰存放區和專用 HSM 時,請使用 AWS CloudHSM 支援的 AWS KMS 自定義金鑰存放區(例如較高層級密鑰安全性的法規合規性需求),以產生及儲存您的加密密鑰。
注意:請參閱下列資訊,以取得 AWS KMS 和 CloudHSM 中 FIPS 合規性層級的 FIPS 140-2 層級:
- AWS KMS 預設值:已驗證 FIPS 140-2 層級 2
- 使用 CloudHSM 的 AWS KMS:已驗證的 FIPS 140-2 層級 3(適用於特定服務)
- AWS CloudHSM:已驗證 FIPS 140-2 層級 3
注意:對於秘密管理(認證、密碼、API 金鑰等),請使用 AWS 秘密管理員。
AWS 實作和其他內容:
GCP 指引:使用雲端 金鑰管理服務 (Cloud KMS) 在相容的 Google 雲端服務和工作負載應用程式中建立和管理加密密鑰生命週期。 根據定義的排程,輪替並撤銷雲端 KMS 和服務中的密鑰,以及何時有密鑰淘汰或洩露。
使用 Google 的雲端 HSM 服務為 Cloud KMS (金鑰管理服務) 提供硬體支援的金鑰,可讓您管理和使用自己的密碼編譯密鑰,同時受到完全受控硬體安全性模組 (HSM) 的保護。
雲端 HSM 服務會使用經過 FIPS 140-2 層級 3 驗證的 HSM,且一律以 FIPS 模式執行。 FIPS 140-2 層級 3 驗證,且一律以 FIPS 模式執行。 FIPS 標準會指定 HSM 所使用的密碼編譯演算法和隨機數產生。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-7:使用安全憑證管理流程
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-17 | 3.6 |
安全性原則:記錄並實作企業憑證管理標準、流程和程式,包括憑證生命週期控制,以及憑證原則(如果需要公鑰基礎結構)。
請確定組織中重要服務所使用的憑證會使用自動化機制進行清查、追蹤、監視及更新,以避免服務中斷。
Azure 指引:使用 Azure 金鑰保存庫 來建立及控制憑證生命週期,包括建立/匯入、輪替、撤銷、記憶體和清除憑證。 請確定憑證產生遵循已定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等。 在 Azure 金鑰保存庫 中設定憑證的自動輪替,並根據定義的排程和支援的 Azure 服務,以及憑證到期時間。 如果前端應用程式中不支援自動輪替,請在 Azure 金鑰保存庫 中使用手動輪替。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,您可以在 Azure 金鑰保存庫 中建立公用簽署憑證。 下列證書頒發機構單位 (CA) 是目前與 Azure 金鑰保存庫 整合的合作夥伴提供者。
- DigiCert:Azure 金鑰保存庫 提供 OV TLS/SSL 憑證與 DigiCert。
- GlobalSign:Azure 金鑰保存庫 提供 OV TLS/SSL 憑證與 GlobalSign。
注意:僅使用已核准的CA,並確保停用這些CA所簽發的已知不良根/中繼憑證。
Azure 實作和其他內容:
- 開始使用 Key Vault 憑證 \(部分機器翻譯\)
- Azure 金鑰保存庫 中的憑證 存取控制
AWS指引:使用 AWS 憑證管理員 (ACM) 來建立及控制憑證生命週期,包括建立/匯入、輪替、撤銷、儲存和清除憑證。 請確定憑證產生遵循已定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等。 根據定義的排程及憑證到期時間,在 ACM 中設定憑證的自動輪替和支援的 AWS 服務。 如果前端應用程式中不支援自動輪替,請在 ACM 中使用手動輪替。 同時,您應該一律追蹤憑證更新狀態,以確保憑證的有效性。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,在 ACM 中建立公開簽署的憑證(由 Amazon 證書頒發機構單位簽署),並在 CloudFront、Load Balancers、API 閘道等服務中以程式設計方式部署憑證。您也可以使用 ACM 來建立私人證書頒發機構單位 (CA) 來簽署私人憑證。
注意:只使用已核准的 CA,並確保停用這些 CA 所簽發的已知不良 CA 根/中繼憑證。
AWS 實作和其他內容:
GCP指引:使用 Google Cloud Certificate Manager 來建立及控制憑證生命週期,包括建立/匯入、輪替、撤銷、儲存和清除憑證。 請確定憑證產生遵循已定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等。 根據定義的排程及憑證到期時間,在憑證管理員中設定憑證的自動輪替和支援的 GCP 服務。 如果前端應用程式中不支援自動輪替,請在憑證管理員中使用手動輪替。 同時,您應該一律追蹤憑證更新狀態,以確保憑證的有效性。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,您可以在憑證管理員中建立已簽署的公用憑證,並在Load Balancer和Cloud DNS等服務中以程序設計方式部署憑證。您也可以使用證書頒發機構單位服務來建立私人證書頒發機構單位 (CA) 來簽署私人憑證。
注意:您也可以使用Google Cloud Secret Manager 來儲存 TLS 憑證。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):
DP-8:確保金鑰和憑證存放庫的安全性
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-17 | 3.6 |
安全性原則:確保用於密碼編譯密鑰和憑證生命週期管理之密鑰保存庫服務的安全性。 透過訪問控制、網路安全性、記錄和監視和備份強化密鑰保存庫服務,以確保密鑰和憑證一律會使用最高安全性來保護。
Azure 指引:透過下列控件強化 Azure 金鑰保存庫 服務,保護您的密碼編譯密鑰和憑證:
- 在密鑰層級使用 Azure 金鑰保存庫 受控 HSM 中的 RBAC 原則實作訪問控制,以確保遵循最低許可權和職責分隔原則。 例如,請確定管理加密密鑰的用戶已具備職責區隔,因此他們無法存取加密的數據,反之亦然。 針對 Azure 金鑰保存庫 Standard 和 Premium,為不同的應用程式建立唯一的保存庫,以確保遵循最低許可權和職責分隔原則。
- 開啟 Azure 金鑰保存庫 記錄,以確保記錄重要的管理平面和數據平面活動。
- 使用 Private Link 保護 Azure 金鑰保存庫,並 Azure 防火牆 以確保服務暴露程度最低
- 使用受控識別來存取儲存在 Azure 金鑰保存庫 工作負載應用程式中的密鑰。
- 清除資料時,請確定您的金鑰不會在清除實際數據、備份和封存之前刪除。
- 使用 Azure 金鑰保存庫 備份金鑰和憑證。 啟用虛刪除和清除保護,以避免意外刪除金鑰。需要刪除金鑰時,請考慮停用金鑰,而不是刪除金鑰,以避免意外刪除金鑰和數據的密碼編譯清除。
- 若要攜帶您自己的金鑰 (BYOK) 使用案例,請在內部部署 HSM 中產生金鑰,並加以匯入,以最大化密鑰的存留期和可移植性。
- 請勿以純文字格式儲存 Azure 金鑰保存庫 以外的密鑰。 所有金鑰保存庫服務的金鑰預設都無法匯出。
- 在 Azure 金鑰保存庫 Premium 和 Azure 受控 HSM 中使用 HSM 支援的密鑰類型(RSA-HSM),以取得硬體保護和最強的 FIPS 層級。
啟用 Microsoft Defender for Key Vault,可提供適用於 Azure Key Vault 的 Azure 原生進階威脅防護,多加一層額外的安全情報。
Azure 實作和其他內容:
AWS 指引:若要保護密碼編譯密鑰安全性,請透過下列控件強化 AWS 金鑰管理服務 (KMS) 服務來保護密鑰:
- 使用密鑰原則(金鑰層級訪問控制)搭配 IAM 原則(身分識別型存取控制)來實作訪問控制,以確保遵循最低許可權和職責分隔原則。 例如,請確定管理加密密鑰的用戶已具備職責區隔,因此他們無法存取加密的數據,反之亦然。
- 使用 CloudTrails 等偵測控件來記錄和追蹤 KMS 中的金鑰使用方式,並警示您採取重大動作。
- 絕對不要將金鑰儲存在 KMS 外部的純文字格式。
- 需要刪除金鑰時,請考慮停用 KMS 中的金鑰,而不是刪除密鑰,以避免意外刪除金鑰和資料的密碼編譯清除。
- 清除資料時,請確定您的金鑰不會在清除實際數據、備份和封存之前刪除。
- 若要攜帶您自己的金鑰 (BYOK) 使用案例,請在內部部署 HSM 中產生金鑰並加以匯入,以最大化密鑰的存留期和可移植性。
針對憑證安全性,請透過下列控件強化 AWS 憑證管理員 (ACM) 服務來保護憑證:
- 使用資源層級原則搭配 IAM 原則實作訪問控制(身分識別型訪問控制),以確保遵循最低許可權和職責分隔原則。 例如,確保使用者帳戶的職責分離:產生憑證的用戶帳戶與只需要憑證唯讀存取權的用戶帳戶分開。
- 使用 CloudTrails 等偵測控件來記錄和追蹤 ACM 中憑證的使用方式,並針對重要動作發出警示。
- 請遵循 KMS 安全性指引來保護用於服務憑證整合的私鑰(針對憑證要求產生)。
AWS 實作和其他內容:
GCP 指引:針對密碼編譯密鑰安全性,請透過下列控件強化您的 金鑰管理服務 來保護密鑰:
- 使用 IAM 角色實作訪問控制,以確保遵循最低許可權和區分職責原則。 例如,請確定管理加密密鑰的用戶已具備職責區隔,因此他們無法存取加密的數據,反之亦然。
- 為每個專案建立個別的索引鍵通道,可讓您在最低許可權最佳做法下輕鬆管理及控制密鑰的存取權。 它也可讓您更輕鬆地稽核誰何時可存取哪些密鑰。
- 啟用金鑰的自動輪替,以確保金鑰會定期更新和重新整理。 這有助於防範潛在的安全性威脅,例如暴力密碼破解攻擊或嘗試取得敏感性資訊的惡意執行者。
- 設定稽核記錄接收,以追蹤您 GCP KMS 環境中發生的所有活動。
針對憑證安全性,請透過下列控件強化 GCP 憑證管理員和證書頒發機構單位服務來保護憑證:
- 使用資源層級原則搭配 IAM 原則實作訪問控制(身分識別型訪問控制),以確保遵循最低許可權和職責分隔原則。 例如,確保使用者帳戶的職責分離:產生憑證的用戶帳戶與只需要憑證唯讀存取權的用戶帳戶分開。
- 使用雲端稽核記錄之類的偵測控件來記錄和追蹤憑證管理員中的憑證使用量,並警示您是否有重大動作。
- 秘密管理員也支援 TLS 憑證的儲存。 您必須遵循類似的安全性做法,才能在秘密管理員中實作安全性控制。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解):