Ochrana šifrovacích klíčů je stejně důležitá jako šifrování dat. Špatná kontrola přístupu ke klíčům může vést k únikům dat, zneužití služeb a trvalé ztrátě dat. Zde je to, co potřebujete vědět, abyste své klíče udrželi v bezpečí:

• Princip nejmenších privilegií: Udělujte pouze minimální oprávnění potřebná pro konkrétní úkoly. Vyhněte se příliš širokým oprávněním, jako například km:* a vynucovat přísná pravidla přístupu.
• Řízení přístupu na základě rolí (RBAC): Oddělte role pro správu klíčů (např. administrátoři) a kryptografické operace (např. uživatelé). Vyhněte se překrývání odpovědností.
• Centralizovaná správa klíčů: Pro konzistentní a bezpečné zpracování klíčů používejte nástroje jako AWS KMS, Google Cloud KMS nebo Azure Key Vault.
• Hardwarové bezpečnostní moduly (HSM): Pro lepší ochranu uložte klíče v hardwaru odolném proti neoprávněné manipulaci. Spravované moduly HSM zjednodušují integraci a zajišťují shodu s normou FIPS.
• Monitorování a protokolování: Povolte podrobné protokoly pro aktivity administrátora i používání klíčů. Nastavte upozornění na neobvyklé chování nebo vysoce rizikové akce.
• Rotace a zrušení klíče: Pravidelně střídejte klíče, abyste omezili vystavení rizikům. Okamžitě zneplatněte ohrožené klíče a bez prodlení je vyměňte.

Dodržování těchto kroků zajistí bezpečnost vašich šifrovacích klíčů, sníží rizika a zachová integritu dat.

PKI 101: ukládání a použití soukromých šifrovacích klíčů

sbb-itb-59e1987

Použití nejnižších oprávnění pro správu klíčů

Co znamená nejmenší privilegium

Princip nejmenších oprávnění (PoLP) se zaměřuje na to, aby uživatelům a službám poskytoval pouze oprávnění, která nezbytně potřebují k provádění svých úkolů – nic víc. Při aplikaci na správu klíčů to znamená pečlivou kontrolu toho, kdo může šifrovat, dešifrovat, upravovat zásady nebo mazat klíče.

"Žádný principál AWS nemá žádná oprávnění ke klíči KMS, pokud toto oprávnění není explicitně poskytnuto a nikdy neodepřeno. Neexistují žádná implicitní ani automatická oprávnění k používání nebo správě klíče KMS." – Služba správy klíčů AWS

Tento přístup "odepřít ve výchozím nastavení" je základním kamenem zabezpečení. Ani vlastník účtu nebo osoba, která klíč vytváří, nemá automaticky oprávnění – musí být explicitně udělena. Tato přísná kontrola výrazně snižuje potenciální zranitelnosti. Pokud dojde k ohrožení přihlašovacích údajů, poškození je omezeno na konkrétní oprávnění přiřazená dané identitě. Například ohrožené přihlašovací údaje "Klíčového uživatele" neumožní smazání klíče, pokud nebyla udělena administrátorská práva.

Nedodržení minimálních oprávnění může vést k vážným následkům. Bez řádných omezení by útočníci mohli eskalovat svá oprávnění změnou zásad pro klíče a získat tak plnou kontrolu. Ještě horší je, že by mohli naplánovat smazání klíče, což trvale zničí šifrovaná data. AWS vynucuje čekací dobu nejméně 7 dnů (a až 30 dnů) na smazání klíče, protože Jakmile je klíč smazán, veškerá data zašifrovaná pomocí něj jsou navždy pryč.

Pro efektivní implementaci těchto kontrol se klíčovým nástrojem stává řízení přístupu na základě rolí (RBAC).

Nastavení řízení přístupu na základě rolí (RBAC)

RBAC zjednodušuje minimální oprávnění přiřazováním oprávnění na základě pracovní role místo jednotlivců. Místo správy oprávnění pro jednotlivé uživatele definujete role, jako je "Klíčový správce" a "Klíčový uživatel", a přiřazujete lidi k těmto rolím na základě jejich odpovědností.

Klíčovým principem RBAC je oddělení administrativní úkoly z kryptografické operace. Správci klíčů se starají o životní cyklus klíčů – vytváření, povolování nebo zakazování, aktualizaci zásad a plánování mazání. Uživatelé klíčů naopak provádějí šifrování a dešifrování. Tyto role by se u stejných klíčů nikdy neměly překrývat.

Typ role	Typická oprávnění	Účel
Klíčový administrátor	Vytvořit, Povolit/Zakázat, PutKeyPolicy, ScheduleKeyDeletion, Označování	Spravuje klíčový životní cyklus, metadata a zásady přístupu
Klíčový uživatel	Šifrovat, Dešifrovat, Znovu šifrovat, GenerovatDataKey, DescribeKey	Používá klíč pro kryptografické operace s daty

Při konfiguraci RBAC se vyhněte použití zástupných znaků, jako je km:* ve vašich zásadách. Vždy uveďte přesný ARN klíče nebo ID prostředku. Zástupné znaky mohou neúmyslně udělit přístup ke klíčům v jiných účtech nebo regionech. Kromě toho používejte samostatné klíče pro různé datové typy – zákaznická data, finanční záznamy a interní komunikace by měly mít každý svůj vlastní klíč. Tím je zajištěno, že pokud je ohrožen jeden přihlašovací údaj, je ohrožena pouze specifická podmnožina dat.

Pro větší ochranu vyžadujte Vícefaktorové ověřování (MFA) pro citlivé akce, jako je plánování smazání klíčů nebo změna zásad klíčů. Další užitečnou vrstvou je kontext šifrování, která váže oprávnění ke konkrétním metadatům. Tyto netajné páry klíč-hodnota zajišťují, že klíč může dešifrovat data pouze tehdy, je-li poskytnut stejný kontext použitý během šifrování, což přidává další ochranu před neoprávněným použitím – i když je samotný klíč ohrožen.

Centralizovaná správa přístupu ke klíčům

Výhody centralizované správy

Centralizovaná správa klíčů staví na principech nejnižších oprávnění a definovaných rolí, což pomáhá organizacím prosazovat konzistentní bezpečnostní postupy. Správou šifrovacích klíčů z jednoho účtu nebo projektu se firmy mohou vyhnout potížím s žonglováním s klíči napříč různými prostředími. Místo toho, aby se administrátoři museli zabývat samostatnými účty pro jednotlivé životní cykly klíčů, se mohou spolehnout na jednotnou konzoli. To se stává obzvláště důležitým s růstem organizací, kde správa velkého počtu klíčů vyžaduje efektivnější přístup.

"Schopnost seskupovat klíče, koncové body a přiřazovat role a zásady těmto skupinám pomocí jednotné konzole pro správu jsou jedinými způsoby, jak spravovat to, co může znamenat miliony klíčů a operací." – Nisha Amthul, Senior Product Marketing Manager, Thales

Centralizované systémy také snižují pravděpodobnost chybných konfigurací tím, že vynucují konzistentní bezpečnostní opatření. Snižují rizika, jako je náhodné smazání klíčů nebo eskalace oprávnění, protože místní administrátoři nemají nekontrolovanou pravomoc nad kritickými klíči.

"Tento centralizovaný model může pomoci minimalizovat riziko neúmyslného smazání klíčů nebo eskalace oprávnění delegovanými správci nebo uživateli." – AWS Preskriptivní pokyny

Další významnou výhodou je oddělení administrativních úkolů od přístupu k datům. To nejen posiluje dodržování předpisů, ale také zjednodušuje audity vytvořením jasného rozdělení odpovědností. Centralizované protokolování to dále posiluje konsolidací všech klíčových událostí přístupu do jedné auditní stopy, což usnadňuje sledování a kontrolu aktivit.

S ohledem na tyto výhody se výběr správného centralizovaného nástroje pro správu klíčů stává zásadním krokem k zajištění efektivní a bezpečné správy životního cyklu klíčů.

Nástroje pro centralizovanou správu klíčů

Pro zefektivnění centralizované správy klíčů je k dispozici několik nástrojů:

• Služba správy klíčů AWS (KMS): Chrání kořenové klíče pomocí hardwarových bezpečnostních modulů (HSM) ověřených dle standardu FIPS 140-2 nebo 140-3 úrovně 3 a bezproblémově se integruje s dalšími službami AWS pro sjednocený audit.
• Cloudový systém správy klíčů Google: Nabízí šifrovací klíče spravované zákazníkem s možnostmi úrovně ochrany softwaru, HSM a externího správce klíčů.
• Trezor klíčů Azure: Centralizuje ukládání klíčů, tajných klíčů a certifikátů a zároveň zahrnuje vestavěné řízení přístupu na základě rolí.

Pro organizace působící v multicloudových prostředích mohou jednotné rozhraní poskytnout další nástroje:

• Modul pro správu tajných klíčů trezoru HashiCorp: Nabízí konzistentní pracovní postup pro správu klíčů v rámci AWS KMS, Azure Key Vault a Google Cloud KMS z jednoho rozhraní.
• Správce Thales Cipher Trust: Dohlíží na klíčové životní cykly napříč servery, úložnými systémy a cloudovými platformami prostřednictvím jediné konzole.

Při výběru nástroje upřednostňujte ty, které podporují detailní řízení přístupu, aby se posílil princip co nejmenších oprávnění. Dalším klíčovým faktorem jsou automatizační možnosti. Zatímco organizace se silnými automatizačními systémy mohou zvládat decentralizovaná nastavení, centralizovaná správa je často vhodnější pro manuální procesy. Vyhodnoťte své specifické potřeby, jako jsou požadavky na dodržování předpisů (např. ověření FIPS 140-3 úrovně 3), řízení životního cyklu a kvóty služeb na účet, abyste pro svou organizaci učinili nejlepší volbu.

Klíčové zásady a oddělení povinností

Vytváření a vymáhání klíčových zásad

Zásady pro klíče by měly zahrnovat každou fázi životního cyklu klíče – od jeho vytvoření až po jeho případné zničení. Bez jasné dokumentace existuje vyšší riziko zneužití klíčů.

Vaše zásady musí přidělovat konkrétní role s jasně definovanými odpovědnostmi. Například, Kryptografičtí důstojníci může zpracovávat úkoly, jako je generování klíčů a zálohování, zatímco Bezpečnostní auditoři Zaměřte se na zajištění souladu s předpisy. Toto jasné rozdělení eliminuje nejednoznačnost a zajišťuje odpovědnost. Veďte aktuální inventář pro každý klíč s podrobným uvedením data jeho vytvoření, šifrovacího algoritmu (například 3072bitového RSA), schváleného použití a vlastnictví.

Pro řízení přístupu používejte kombinaci zásad založených na zdrojích a identitách. Zásady založené na zdrojích vážou oprávnění ke konkrétním klíčům, zatímco zásady založené na identitách řídí akce uživatelů a rolí. Pro posílení přístupu "standardně zamítnout" zadejte přesné ARN a omezte citlivá oprávnění. Například omezte kms:ScheduleKeyDeletion oprávnění důvěryhodným principálům, čímž je zajištěna minimální čekací doba na smazání. AWS KMS vynucuje výchozí čekací dobu 7 dnů (s možností prodloužení až na 30 dnů) před trvalým smazáním klíče, čímž se snižuje riziko náhodné ztráty dat.

"Žádný principál AWS, včetně uživatele root nebo tvůrce klíče, nemá žádná oprávnění ke klíči KMS, pokud nejsou explicitně povolena a explicitně zamítnuta v zásadách klíčů, zásadách IAM nebo udělení." – Předpisové pokyny AWS

Oddělení odpovědností klíčového managementu

Jakmile zavedete robustní zásady pro klíče, dalším krokem je zajistit rozdělení povinností, aby se minimalizovala rizika. Oddělením správy klíčů od kryptografických operací snižujete pravděpodobnost, že jedna osoba ohrozí zabezpečení klíče. Například osoba spravující klíč by nikdy neměla mít přístup k datům, která klíč chrání. Toto rozdělení nejen snižuje riziko podvodů nebo chyb, ale také zabraňuje eskalaci oprávnění.

Jasně definujte role, jako např. Klíčoví administrátoři, kteří dohlížejí na klíčové životní cykly, tvorbu a rotaci, a Klíčoví uživatelé, kteří se starají o šifrování, dešifrování a podepisování. Vyhněte se přiřazování širokých rolí, jako je "Vlastník" nebo "Editor", které kombinují administrativní a provozní úkoly. Místo toho se držte úzce definovaných rolí, které se řídí principem nejnižších oprávnění.

Pro operace s vysokými sázkami implementujte techniky vícestranné autorizace, jako je Shamir's Secret Sharing, abyste zajistili, že žádná osoba nemůže ohrozit klíč. Pro citlivé akce vyžadujte vícefaktorové ověřování (MFA) a pro další zvýšení zabezpečení distribuujte hesla a zařízení MFA mezi více osob.

Snažím se s hesly zacházet jako s “prvními dveřmi” k šifrovacím klíčům: pokud jsou tyto dveře slabé, každá další bezpečnostní vrstva se stane spíše dekorativní. Takže to dodržuji jednoduše a striktně: jeden účet = jedno jedinečné, dlouhé heslo, bez možnosti opětovného použití a bez “drobných obměn” jako Heslo123! → Heslo124!. Tato hesla neukládám do poznámek ani je neposílám v chatu; místo toho se spoléhám na… správce hesel a povolit vícefaktorovou autentizaci (MFA) všude, kde je k dispozici. A když je nutné sdílet přístup ke kritickým systémům, vyhýbám se “jednomu společnému heslu pro všechny” a prosazuji oddělené účty a oprávnění založená na rolích, protože je jasnější, kdo co udělal, a je mnohem snazší rychle přístup odebrat, pokud se něco pokazí.

Únik RSA z roku 2011 je varovným příběhem. V tomto incidentu nedostatečné oddělení povinností správy klíčů umožnilo útočníkům klonovat tokeny dvoufaktorového ověřování, což ilustruje nebezpečí laxního rozdělení rolí.

Automatizace monitorování je dalším klíčovým krokem. Používejte nástroje k detekci a označení jakéhokoli překrývání oprávnění, které by mohlo naznačovat porušení oddělení povinností. Přehledy servisních účtů mohou také identifikovat účty, které nebyly používány 90 dní nebo déle, a signalizovat jejich deaktivaci nebo odstranění, aby se omezil zbytečný přístup a počet aktivních klíčů.

Použití hardwarových bezpečnostních modulů (HSM) pro ochranu klíčů

Pochopení modulů hardwarového zabezpečení

Hardwarový bezpečnostní modul (HSM) je specializované zařízení určené k ochraně šifrovacích klíčů v bezpečném a neoprávněném prostředí. Na rozdíl od softwarových řešení se HSM spoléhají na specializované kryptoprocesorové čipy uzavřené v pouzdře odolném proti neoprávněné manipulaci. Toto nastavení zajišťuje, že Šifrovací klíče jsou generovány a ukládány výhradně v rámci hardwarových hranic, nikdy nejsou ponechány v prostém textu..

Pokročilé HSM zahrnují mechanismy reagující na neoprávněnou manipulaci, které dokáží okamžitě vynulovat (trvale smazat) citlivý klíčový materiál, pokud je detekováno fyzické narušení. Většina HSM splňuje FIPS 140-2 nebo 140-3 úroveň 3 certifikační standardy, které nabízejí hardwarovou izolaci, jež je mnohem lepší než metody využívající pouze software.

Poskytovatelé cloudových služeb dnes zjednodušují přístup k této technologii prostřednictvím spravovaných HSM. Tyto služby poskytují hardwarové zabezpečení kompatibilní s FIPS bez nutnosti fyzických zařízení. Spravované HSM obvykle zajišťují Dostupnost 99.99% replikací dat napříč více regiony. Přístup je rozdělen do dvou rovin: Řídící rovina, který se stará o správu zdrojů (např. vytváření, mazání, konfigurace) a Datová rovina, který spravuje kryptografické operace, jako je šifrování, dešifrování a podepisování. Toto oddělení zajišťuje, že administrativní úkoly jsou odděleny od přímého přístupu k citlivým klíčům.

Integrací HSM do vašich systémů můžete zavést silnější kontroly přístupu a efektivně zabezpečit klíčové operace.

Integrace HSM s vašimi systémy

Integrace HSM do vaší infrastruktury zvyšuje zabezpečení klíčů tím, že citlivý materiál uchovává v rámci chráněných hardwarových hranic. Prvním krokem je nastavení robustních kontrol přístupu pro řídicí i datovou rovinu. Používejte spravované identity pro aplikace k ověřování pomocí HSM, čímž eliminujete nutnost ukládat přihlašovací údaje do kódu nebo konfiguračních souborů. Pečlivě přiřazujte role – role na úrovni cloudu, jako je "Přispěvatel Key Vault", spravují samotný HSM, zatímco lokální role HSM, jako je "Kryptografický pracovník" nebo "Kryptografický uživatel", se zabývají kryptografickými úlohami. Omezte oprávnění na konkrétní klíče (např., /klíče/) namísto udělení přístupu k celému HSM.

Pro zvýšení zabezpečení vytvořte kvorum bezpečnostní domény s použitím alespoň tří párů klíčů RSA, z nichž každý spravuje jiný správce. Toto nastavení zajišťuje, že žádná osoba nemůže plně obnovit nebo ohrozit HSM. Uchovávejte tyto klíče pro obnovení na šifrovaných, offline discích USB uložených v oddělených trezorech. Povolte funkce, jako je obnovitelné mazání (s dobou uchování od 7 do 90 dnů) a ochrana před vymazáním, abyste zabránili náhodnému nebo škodlivému smazání klíčů.

Pro zabezpečení síťové komunikace zakažte veřejný přístup k internetu a směrujte veškerý provoz HSM přes soukromé koncové body. Pro vysoce regulovaná prostředí zvažte přístup "Hold Your Own Key" (HYOK). Tento model uchovává klíče v externím HSM a nikdy je nezpřístupňuje infrastruktuře poskytovatele cloudu. Používá také dvojité šifrování: data jsou šifrována nejprve poskytovatelem cloudu a poté znovu vaším externím HSM, což zajišťuje, že žádná strana nemůže nezávisle přistupovat k prostým textům.

Zvyšte zabezpečení ještě více využitím přístupu Just-in-Time prostřednictvím správy privilegovaných identit, která uděluje dočasná administrátorská práva pouze v případě potřeby. Označte klíče jako "neexportovatelné", abyste zajistili, že zůstanou v rámci hardwarových hranic, a implementujte automatické plány rotace klíčů, abyste minimalizovali riziko kompromitace v průběhu času.

Monitorování, auditování a protokolování přístupu ke klíčům

Po zavedení silných postupů správy klíčů a zabezpečení hardwaru je nezbytné pečlivé sledování přístupu prostřednictvím monitorování a protokolování, aby se včas odhalily potenciální narušení.

Nastavení monitorování přístupu

Sledování přístupu ke klíčům je zásadní pro odhalení neoprávněného použití dříve, než se stane problémem. Začněte rozlišováním mezi Protokoly aktivit administrátora (které zaznamenávají akce, jako je vytváření klíčů nebo aktualizace zásad) a Protokoly přístupu k datům (které sledují kryptografické operace, jako je šifrování a dešifrování). I když jsou protokoly přístupu k datům často ve výchozím nastavení vypnuty kvůli obrovskému objemu, který generují, jejich povolení pro nejcitlivější klíče je chytrý krok.

Stanovte si základní linii typického využití aktivit v datové i řídicí rovině. To usnadní detekci neobvyklého chování, jako je nárůst požadavků na dešifrování v nestandardní hodinu nebo přístup administrátora ke klíčům, které nikdy předtím nepoužil. Odesílejte protokoly auditu do automatizovaných monitorovacích nástrojů, jako je Alarmy CloudWatch spouštět upozornění na vysoce rizikové události, jako například Plánovací klíč – odstranění, Zakázat klíč, nebo neoprávněné změny zásad.

Využijte páry klíč-hodnota kontextu šifrování, které jsou viditelné v prostém textu v protokolech, ke kategorizaci aktivit bez vystavení citlivých dat. Věnujte zvýšenou pozornost změnám tagů, protože neoprávněné Zdroj štítku nebo UntagResource Akce mohou zvyšovat oprávnění. Mějte na paměti, že změny značek nebo aliasů mohou mít vliv na oprávnění klíčů KMS až do 5 minut, takže vaše nastavení monitorování by mělo toto zpoždění zohlednit.

Efektivní monitorování přístupu přirozeně přispívá k vytváření podrobných auditních záznamů pro úplný přehled.

Vytváření auditních záznamů a protokolů

Pro doplnění monitorování zajistěte důkladný systém protokolování, který vytvoří bezpečnou auditní stopu. Tento přístup pomáhá udržovat odpovědnost a připravuje vás na forenzní vyšetřování. Pro zajištění redundance používejte alespoň dva typy auditních nástrojů. Nástroje jako HashiCorp Vault jsou navrženy tak, aby blokovaly požadavky API, pokud se nemohou přihlásit alespoň k jednomu zařízení, čímž zabraňují nesledovanému přístupu.

Přeposílejte protokoly do vzdáleného systému, abyste je ochránili před manipulací a zajistili jejich dostupnost pro audity shody s předpisy. Pro zvýšení zabezpečení používejte klíčované hashování (např. HMAC-SHA256) k ochraně citlivých dat protokolů a zároveň k jejich auditovatelnosti. Nastavte upozornění na kritické události, jako je použití root tokenu, změny v konfiguracích auditu nebo nárůst chyb "oprávnění odepřeno". Nezapomeňte implementovat rotaci protokolů (např. pomocí logrotate) a nakonfigurujte signály HUP tak, aby bylo zajištěno nepřerušované protokolování.

Centralizujte a agregujte protokoly ze všech projektů nebo účtů do jednoho úložiště pro přehlednost v celé organizaci. To nejen zjednodušuje dohled, ale také podporuje dodržování standardů, jako jsou PCI DSS, FedRAMP a HIPAA. Mějte však na paměti – povolení protokolů přístupu k datům může zvýšit náklady kvůli většímu objemu dat.

Postupy rotace a odvolání klíčů

Šifrovací klíče nejsou určeny k věčnému použití. Pravidelná rotace a včasné zneplatnění jsou nezbytné k tomu, aby zastaralé nebo kompromitované klíče neohrozily citlivá data.

Kdy a proč otáčet klíče

Rotace šifrovacích klíčů pomáhá omezit škody, které může způsobit jeden kompromitovaný klíč. Místo jednoho klíče, který chrání data po celé roky, rotace zajišťuje, že každý klíč je platný pouze po určitou dobu. Například standard PCI DSS nařizuje minimálně roční rotaci klíčů, ale u vysoce citlivých dat, jako jsou informace o držitelích karet, je bezpečnější rotace klíčů čtvrtletně. U klíčů servisních účtů odborníci doporučují rotaci alespoň každých 90 dní, aby se minimalizovala rizika úniku přihlašovacích údajů.

Frekvence rotace by měla záviset na citlivosti dat a na tom, jak často se klíč používá. Například NIST doporučuje rotovat klíče AES-256-GCM, než dosáhnou přibližně 4,3 miliardy šifrování. Podobně Azure Key Vault doporučuje rotovat šifrovací klíče alespoň každé dva roky. Často používané klíče čelí větším kryptoanalytickým rizikům, takže sledování počtu šifrování pomocí telemetrie může pomoci určit, kdy je rotace nutná, spíše než spoléhat se pouze na kalendářní plán.

Aby byl tento proces plynulejší a bezchybný, rotaci klíčů za vás zvládnou automatizační nástroje jako HashiCorp Vault nebo Cloud KMS. Tyto nástroje používají verzování klíčů, kde se nová data šifrují nejnovějším klíčem, zatímco starší klíče dešifrují historická data. To umožňuje postupný, "líný" proces opětovného šifrování, který aktualizuje data při přístupu.

Ale samotná rotace nestačí. Když dojde k narušení bezpečnosti, dalším kritickým krokem se stává zrušení klíče.

Zrušení klíčů pro snížení rizik

Zneužití klíče je rychlá reakce na situaci, kdy je klíč ohrožen, zaměstnanec s přístupem odejde nebo dojde k jiné bezpečnostní události. Načasování je klíčové – zrušení by ideálně mělo proběhnout do 24 hodin od zjištění problému.

Funguje to takto: Nejprve identifikujte kompromitovaný klíč a vygenerujte bezpečnou náhradu. Nový klíč nasaďte na všechny systémy a poté starý klíč deaktivujte. Neodstraňujte ho však okamžitě – tato lhůta vám umožňuje sledovat případné chyby nebo závislosti, které jsou stále vázány na deaktivovaný klíč. Jakmile se ujistíte, že nejsou ovlivněny žádné kritické systémy, aktualizujte konfigurace, znovu zašifrujte potřebná data a trvale odstraňte starý klíč.

"Pokud se ohrožené klíče neprodleně nezruší, může dojít k pokračujícímu neoprávněnému dešifrování. Špatné postupy správy klíčů činí šifrování nepoužitelným a data jsou tak vystavena riziku." – Tým podpory SSL, SSL.com

Výrazným příkladem důsledků špatné správy klíčů je narušení bezpečnosti RSA z roku 2011. Útočníci ukradli kryptografické "seed" hodnoty milionů tokenů SecurID, protože RSA nedokázala zabezpečit databázi seedů a vynutit řádné kontroly přístupu. Toto narušení zdůrazňuje důležitost rychlých a efektivních postupů správy klíčů pro ochranu citlivých dat.

Závěr

Silná kontrola přístupu ke klíčům je nezbytná pro ochranu citlivých dat. Uplatňováním principu nejnižších oprávnění, oddělením povinností a používáním hardwarové ochrany, jako jsou HSM ověřené dle FIPS 140-2 úrovně 3, vytváříte pevný základ pro bezpečnou správu klíčů. Tyto strategie jsou klíčové pro prevenci jak náhodného úniku dat, tak úmyslného narušení bezpečnosti.

"Žádný principál AWS, včetně uživatele root nebo tvůrce klíče, nemá žádná oprávnění ke klíči KMS, pokud nejsou explicitně povolena a explicitně zamítnuta v zásadách klíčů, zásadách IAM nebo udělení." – Předpisové pokyny AWS

Další opatření, jako jsou vynucené čekací doby a vícefaktorové ověřování, poskytují další ochranu. Vícefaktorové ověřování zejména přidává další vrstvu zabezpečení tím, že omezuje neoprávněné změny klíčů. Automatická rotace klíčů, obvykle nastavená na každých 90 dní, také minimalizuje riziko snížením potenciálního poškození, které může kompromitovaný klíč způsobit.

Efektivní správa klíčů vyžaduje neustálou pozornost. S růstem organizací, změnami zaměstnanců a vznikem nových rizik se musí vyvíjet i řízení přístupu. Pravidelné audity jsou klíčové pro identifikaci nadměrně privilegovaných rolí, zatímco monitorování v reálném čase je klíčové pro odhalení neobvyklé aktivity přístupu dříve, než se stane hrozbou. Funkce jako automatizované zřizování, upozornění v reálném čase a kontext šifrování spolupracují, aby vaše klíče byly v bezpečí po celou dobu jejich životního cyklu.

Nejčastější dotazy

Jaký je nejbezpečnější způsob rozdělení přístupu klíčového administrátora a klíčového uživatele?

Pro zajištění bezpečnosti je nejlepší dodržovat princip oddělení povinností. To znamená rozdělení odpovědností tak, aby žádný jednotlivec nemohl zvládat zároveň administrativní i provozní úkoly. Například určit Klíčoví administrátoři dohlížet na tvorbu klíčů a správu politik a zároveň Klíčoví uživatelé zaměřit se na kryptografické úlohy, jako je šifrování a dešifrování. Implementovat řízení přístupu na základě rolí (RBAC) spolu s podrobnými zásadami IAM pro vynucování těchto hranic. Kromě toho udržujte komplexní auditní protokoly pro sledování aktivit a rychlou identifikaci neoprávněných akcí.

Kdy bych měl/a použít HSM místo softwarového úložiště klíčů?

Hardwarový bezpečnostní modul (HSM) je ideálním řešením, když hardwarová izolace a odolnost proti neoprávněné manipulaci jsou nedílnou součástí ochrany vysoce citlivých kryptografických klíčů. HSM vynikají v situacích, kdy je splnění přísných standardů dodržování předpisů zásadní nebo kde je třeba minimalizovat rizika narušení bezpečnosti a softwarových zranitelností.

Na rozdíl od softwarového úložiště klíčů poskytují HSM další vrstvu zabezpečení, což z nich činí preferovanou volbu pro prostředí vyžadující nejvyšší úroveň ochrany.

Jak mohu otáčet klíče, aniž bych poškodil aplikace nebo ztratil přístup k datům?

Chcete-li přepnout šifrovací klíče bez přerušení aplikací nebo ztráty přístupu k datům, postupujte takto:

• Plánování a rozvrhování rotacíNastavte automatizované systémy nebo naplánujte generování klíčů podle potřeby pro vytvoření nových šifrovacích klíčů.
• Aktualizace aplikací a datPřechod na nové klíče provádějte postupně, přičemž staré klíče dočasně ponechávejte aktivní, aby byla zachována kompatibilita.
• Monitorování a ověřováníDůkladně otestujte, zda aplikace s aktualizovanými klíči fungují hladce.

Tato metoda pomáhá udržovat bezpečnost a zároveň předcházet narušením.

Související příspěvky na blogu

• Správa klíčů v end-to-end šifrování Hosting
• 10 osvědčených postupů správy klíčů API
• Nejlepší postupy pro ukládání soukromých klíčů PKI
• Kontrolní seznam pro dodržování předpisů pro klíčové managementy