V1.6.2 Cryptographic Architecture

Requirement:

Verify that consumers of cryptographic services protect key material and other secrets by using key vaults or API based alternatives.

Explanation:

Требование направлено на защиту ключей и других секретов криптографии. Оно предполагает, что потребители криптографических сервисов должны использовать для этих целей хранилища ключей или альтернативные варианты на базе API.

• Protection of Key Material and Secrets:

  • Криптографический ключ, а также другие секреты, такие как API-ключи и токены, являются критически важными активами для обеспечения безопасности приложения. Защита этих активов крайне важна для предотвращения несанкционированного доступа и утечки данных.

• Key Vaults:

  • Хранилища ключей - это защищенные централизованные хранилища, предназначенные для хранения и управления криптографическими ключами и другими секретами. Они представляют собой контролируемую среду со строгими механизмами управления доступом, шифрования и аудита.

• API-Based Alternatives:

  • В некоторых случаях организации могут выбрать альтернативу хранилищам ключей на основе API. В качестве альтернативы могут выступать безопасные " cloud-based" API или специализированные сервисы управления секретами, обеспечивающие хранение ключей и секретов и контроль доступа к ним через API.

• Significance:

  • Данное требование важно по нескольким причинам:
    • Security:  Хранилища ключей и альтернативы на базе API обеспечивают более высокий уровень безопасности ключей и секретов по сравнению с хранением их в коде или конфигурационных файлах, которые могут быть более уязвимы к воздействию и несанкционированному доступу.
    • Isolation: Хранение ключей и секретов в специальных хранилищах или с использованием API позволяет изолировать и разделить их, снижая риск случайного раскрытия или несанкционированного использования.
    • Access Control: Хранилища ключей обеспечивают строгий контроль доступа, гарантируя, что только авторизованные пользователи и приложения смогут получить доступ к конфиденциальным криптографическим данным.
    • Auditing: Хранилища ключей, как правило, предлагают возможности детального аудита и логирования, что может иметь решающее значение для обеспечения соответствия нормативным требованиям и проведения исследований в случае инцидентов безопасности.

Для реализации применяются следующие методы:

1. Храните криптографические ключи и секреты в специальном хранилище ключей или используйте альтернативные варианты на основе API.
2. Убедиться, что доступ к этим хранилищам или API строго контролируется и соответствует принципу наименьших привилегий
3. Внедрите механизмы строгой аутентификации для доступа к хранилищам или API.
4. Регулярно меняйте ключи и секреты в соответствии с лучшими практиками и требованиями законодательства.
5. Осуществляйте мониторинг и аудит доступа к хранилищам или API для выявления подозрительных или несанкционированных действий и реагирования на них.

Remediation:

Для выполнения требования которое направлено на защиту криптографического ключа и секретов, необходимо внедрить хранилища ключей или альтернативные варианты на базе API. 

Assess Your Key Material and Secrets:

• Определите все криптографические ключи и секреты, используемые в приложении, включая ключи шифрования, API-токены, пароли и другие конфиденциальные данные.

Select a Key Vault or API-Based Alternative:

• Выберите подходящее решение для хранилища ключей или службу управления секретами на базе API, соответствующую требованиям вашего приложения. Среди популярных вариантов - Azure Key Vault, AWS Secrets Manager, Google Cloud Key Management Service и HashiCorp Vault.

Integration:

• Интегрируйте ваше приложение с выбранным хранилищем ключей или сервисом на базе API для безопасного доступа к криптографическим данным и секретам.

Access Control:

• Реализуйте надежные механизмы контроля доступа к хранилищу ключей или API. Убедитесь, что доступ к криптографическим ключам и секретам могут получить только авторизованные пользователи и приложения.
• Соблюдайте принцип наименьших привилегий, предоставляя доступ только тем лицам и системам, которые в нем действительно нуждаются.

Authentication and Authorization:

• Реализуйте надежные механизмы аутентификации для доступа к хранилищу ключей или API. По возможности используйте многофакторную аутентификацию (MFA).
• Настройте управление доступом на основе ролей (RBAC) или аналогичные механизмы, чтобы определить, кто может выполнять определенные действия в хранилище или API.

Key Rotation:

•  Установите политику ротации ключей и планируйте регулярную ротацию ключей для уменьшения последствий их компрометации.

Monitoring and Auditing:

• Настройте мониторинг и аудит доступа к хранилищу ключей или API. Для оперативного обнаружения и реагирования на подозрительные действия используйте логирование и оповещение.

Documentation and Training:

• Документируйте процедуры управления и защиты ключей, включая использование хранилища ключей или API. 

Testing and Validation:

• Проведите комплексное тестирование для проверки на безопасность и функциональность хранилища ключей или интеграции с API.
• Проведите тестирование на проникновение и оценку безопасности для выявления уязвимостей и неправильных конфигурацийi

Incident Response Plan:

• Разработайте план реагирования на инциденты, в котором описано, как реагировать на инциденты, связанные с компрометацией ключей или несанкционированным доступом к секретам.

Compliance and Auditing:

•  Убедитесь в том, что ваша реализация соответствует стандартам.

Continuous Improvement:

• Постоянно отслеживайте и совершенствуйте методы управления ключами с учетом возникающих угроз, лучших практик и изменений в требованиях к безопасности приложений.

Additional:

https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet.html

https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure.html