Hola a todos!
Continuamos con el artículo Prácticas seguras de gestión de claves en Azure – cloud-riders.ES (cloudriders.es) que empezamos hace pocos días y que continuamos en la segunda parte Prácticas seguras de gestión de claves en Azure (II) – cloud-riders.ES (cloudriders.es).
Así que como no hay dos sin tres…
Estándares y certificaciones
Existen criterios establecidos para evaluar las reclamaciones de CSP.
Estos incluyen determinar si el CSP sigue los estándares recomendados y participa en programas de validación.
Los sistemas de generación de claves deben ser los más seguros de todos los sistemas, y es fundamental que estos sistemas hagan correctamente sólo aquello para lo que fueron diseñados durante toda su vida operativa.
Verifique que el CSP haya implementado un mecanismo de generación de claves que cumpla con el Instituto Nacional de Estándares y Tecnología (NIST) SP 800-90A Rev 1.
Las pruebas de conformidad para implementaciones pueden proporcionar una validación independiente de que un sistema cumple ciertos requisitos.
El NIST tiene programas que proporcionan pruebas de validación de módulos y algoritmos criptográficos aprobados por FIPS y recomendados por el NIST.
Una buena práctica es utilizar un sistema de gestión de claves basado en HSM validado.
Para los CSP que ofrecen servicios basados en módulos de seguridad de hardware (HSM) validados FIPS 140-3, encontrará información detallada sobre el HSM y la política de seguridad relacionada en el NIST.
Página de búsqueda del Programa de validación de módulos criptográficos (CMVP).
En particular, se debe proporcionar protección de integridad para todas las claves y protección de confidencialidad para todas las claves secretas. Se proporciona una protección de confidencialidad adecuada para una clave almacenada en un módulo criptográfico que cumple con FIPS 140-3 a un nivel de seguridad consistente con el nivel de impacto asociado con los datos que la clave debe proteger.
El certificado CMVP proporcionará el nivel de seguridad general y cualquier excepción del nivel de seguridad.
El Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP) valida que este requisito se cumpla al autorizar plataformas en la nube para su uso por parte del gobierno federal.
Al seleccionar algoritmos utilizados con fines criptográficos, como establecimiento de claves, cifrado y firmas digitales, la NSA ha proporcionado recomendaciones en la Suite de Algoritmos Comerciales de Seguridad Nacional (CNSA) versión 2.0 para algoritmos resistentes cuánticos.
Las organizaciones deben intentar cumplir estas recomendaciones en la medida de lo posible.
Como mínimo, deben utilizar los algoritmos recomendados por CNSA Suite 1.0 y tener un plan para la transición a los algoritmos resistentes a lo cuántico de CNSA Suite 2.0, cuando corresponda, cuando estén disponibles.
Verifique que el KMS del CSP admita claves que cumplan con los requisitos necesarios.
La Asociación Nacional de Garantía de la Información (NIAP) proporciona certificaciones e informes de validación para productos que cumplen con criterios de seguridad documentados.
En 2021, NIAP estableció un grupo de trabajo en la nube para determinar un enfoque para certificar las implementaciones de servicios en la nube.
Para comprobar si hay actualizaciones sobre este esfuerzo, visite el sitio web del NIAP.
Mejores prácticas
Las claves de cifrado son una parte integral de las operaciones seguras en la nube.
Las organizaciones deben cumplir con las siguientes mejores prácticas para la administración de claves en la nube según sean relevantes para el modelo KMS elegido:
- Las claves generadas en un HSM nunca deben exportarse en texto sin formato.
- Comprenda dónde se almacena una clave en reposo, ya sea en un HSM o en software, y cómo se protege.
- Asegúrese de que el almacenamiento de claves cumpla con los requisitos del caso de uso.∙
- Las políticas de claves establecen reglas de acceso a las claves. Las políticas de claves pueden ser una combinación de políticas basadas en identidad, basadas en roles y/o basadas en atributos para una clave en particular. Los diferentes CSP tienen diferentes enfoques.
- Tenga en cuenta que normalmente hay retrasos entre el establecimiento de una política clave y su efecto debido a la latencia.
- En general, las políticas de claves deben tener una regla de denegación implícita, lo que significa que los administradores de políticas deben otorgar explícitamente privilegios para el uso o acceso a la clave.
- Tenga en cuenta que las políticas de claves predeterminadas pueden diferir dependiendo de si la clave se crea mediante programación o mediante una consola de administración.
- Haga cumplir la separación de funciones para que ninguna persona tenga todo el acceso necesario para realizar una función empresarial crítica. Para llaves que protegen sensibles recursos/capacidades, separe la capacidad de gestionar claves de la capacidad de utilizar claves para operaciones criptográficas.
- Para roles de administración clave, cree roles más granulares para las etapas del ciclo de vida clave.
- Considere cómo se ampliarán los roles definidos a medida que crezca la empresa.
- Haga cumplir el privilegio mínimo para que cada persona tenga el acceso mínimo requerido para realizar sus tareas asignadas.
- Las API de KMS pueden agregar nuevas operaciones con el tiempo. Otorgar acceso a todas o a una categoría definida por el CSP de operaciones API en una política clave también puede ampliar el acceso para una función con el tiempo.
- Esto podría dar lugar a permisos de acceso no deseados. Por lo tanto, acceder
Las políticas deben otorgar específicamente acceso a cada operación de API necesaria, incluso si eso incluye todas las operaciones de API que existen en un momento determinado.
- Cuando se destruye una clave, el contenido que se cifró con la clave ya no se puede descifrar.
- Asegúrese de que existan controles para verificar que la clave ya no sea necesaria antes de destruirla.
Esperemos no haberos aburrido.
Seguiremos con la seguridad en la nube.
Un abrazo a todos!
