Skip to main content

V6.4.2 Secret Management

Requirement:#

Verify that key material is not exposed to the application but instead uses an isolated security module like a vault for cryptographic operations.

Explanation:#

Π”Π°Π½Π½ΠΎΠ΅ Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ создано для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΊΠ»ΡŽΡ‡ΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для криптографичСских ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ, Π±Ρ‹Π»ΠΈ Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Ρ‹ ΠΎΡ‚ прямого доступа ΠΈΠ»ΠΈ воздСйствия Π½Π° само ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅. ВмСсто этого для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ всСх криптографичСских ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ с ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹ΠΉ ΠΈ ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ бСзопасности, Ρ‚Π°ΠΊΠΎΠΉ ΠΊΠ°ΠΊ Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ ΠΈΠ»ΠΈ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½Ρ‹ΠΉ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ бСзопасности (HSM). Π­Ρ‚ΠΎ обСспСчиваСт Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ бСзопасности, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΎΡ‚Π΄Π΅Π»Π΅Π½Ρ‹ ΠΎΡ‚ ΠΊΠΎΠ΄Π° ΠΈ Π΄Π°Π½Π½Ρ‹Ρ… прилоТСния.

Remediation:#

НСсколько ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ² ΠΏΠΎ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π΄Π°Π½Π½ΠΎΠ³ΠΎ трСбования:

  1. АппаратныС ΠΌΠΎΠ΄ΡƒΠ»ΠΈ бСзопасности (HSM).

HSM ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ собой спСциализированныС криптографичСскиС устройства, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹Π΅ для бСзопасного управлСния ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹ΠΌ ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠΌ ΠΈ выполнСния криптографичСских ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ. HSM часто ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π² финансовых учрСТдСниях, ΠΏΡ€Π°Π²ΠΈΡ‚Π΅Π»ΡŒΡΡ‚Π²Π΅Π½Π½Ρ‹Ρ… агСнтствах ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… организациях, Π³Π΄Π΅ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ΡΡ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹ бСзопасности. ΠšΠ»ΡŽΡ‡ΠΈ, хранящиСся Π² HSM, нСдоступны для прилоТСния, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΏΠ΅Ρ€Π΅Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ криптографичСскиС ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ Π½Π° HSM, прСдотвращая прямоС воздСйствиС Π½Π° ΠΊΠ»ΡŽΡ‡ΠΈ.

  1. БистСмы управлСния сСкрСтами.

БистСмы управлСния сСкрСтами, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ HashiCorp Vault ΠΈΠ»ΠΈ Azure Key Vault, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‚ Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ для бСзопасного хранСния ΠΈ доступа ΠΊ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ криптографичСскиС ΠΊΠ»ΡŽΡ‡ΠΈ. Π­Ρ‚ΠΈ систСмы ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ строгий ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ доступа, ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈ провСряСмыС ΠΆΡƒΡ€Π½Π°Π»Ρ‹ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ. ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠ·Π²Π»Π΅ΠΊΠ°Ρ‚ΡŒ ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈΠ· Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π° ΠΏΡ€ΠΈ нСобходимости, Π½ΠΎ сами ΠΊΠ»ΡŽΡ‡ΠΈ ΠΎΡΡ‚Π°ΡŽΡ‚ΡΡ ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌΠΈ Π²Π½ΡƒΡ‚Ρ€ΠΈ модуля бСзопасности.

  1. ΠœΠΎΠ΄ΡƒΠ»ΠΈ TPM.

TPM - это Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½Ρ‹Π΅ ΠΌΠΎΠ΄ΡƒΠ»ΠΈ бСзопасности, встроСнныС Π² соврСмСнныС Π²Ρ‹Ρ‡ΠΈΡΠ»ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ устройства, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π½ΠΎΡƒΡ‚Π±ΡƒΠΊΠΈ ΠΈ сСрвСры. Они ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‚ бСзопасноС Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ криптографичСских ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, гарантируя Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΎΡ‚ нСсанкционированного доступа. TPM ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для изоляции ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΎΡ‚ прилоТСния ΠΈ бСзопасного выполнСния криптографичСских ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ.

Π’ ΠΊΠ°ΠΆΠ΄ΠΎΠΌ ΠΈΠ· этих ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ² ΠΊΠ»ΡŽΡ‡ΠΈ хранятся ΠΈ ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ΡΡ Π² бСзопасной ΠΈ ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ срСдС, Ρ‚Π°ΠΊΠΎΠΉ ΠΊΠ°ΠΊ HSM, Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ ΠΈΠ»ΠΈ TPM. Π­Ρ‚ΠΎ Π³Π°Ρ€Π°Π½Ρ‚ΠΈΡ€ΡƒΠ΅Ρ‚, Ρ‡Ρ‚ΠΎ само ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π½Π΅ ΠΈΠΌΠ΅Π΅Ρ‚ прямого доступа ΠΊ ΠΊΠ»ΡŽΡ‡Π°ΠΌ, Ρ‡Ρ‚ΠΎ сниТаСт риск нСсанкционированного воздСйствия ΠΈΠ»ΠΈ Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠ³ΠΎ использования.

Additional:#

https://owasp.org/www-project-proactive-controls/#div-numbering

Edit this page