Operational Level Agreements (KMSaaS)

Scope encryptie

De bouwsteen “encryptie at rest in AWS” is in staat om de volgende types van gegevens te encrypteren: 

• Disk Volume (file systeem) – AWS EBS 

• Databank– AWS RDS (server side) 

• Object Storage – AWS S3 (server side) 

• NoSQL databank – AWS DynamoDB (server side) 

• Parameter Store – AWS dienst voor beheer van configuratie en geheimen 

• Cloudwatch – Applicatie en infrastructuurmonitoring 

• Cloudtrail – Activity en API usage monitoring 

• AWS SNS – Simple Notification Service 

 Bijkomende policies kunnen aangevraagd worden via integraties@vlaanderen.be 

Certificatie

AWS KMS HSM is FIPS 140-2 gecertificeerd. Meer informatie over de certificatie is beschikbaar op de NIST website. 

Accountabiliteit

Het Agentschap Digitaal Vlaanderen hanteert een gescheiden verantwoordelijkheidsmodel bij zijn dienstenaanbod, waarbij zowel het agentschap Digitaal Vlaanderen als aanbieder en de diensten afnemer hun rol en bijhorende verantwoordelijkheden opnemen. 

• Agentschap Digitaal Vlaanderen is aansprakelijk (A) en verantwoordelijk (R)  voor deze dienstverlening;  

• Agentschap Digitaal Vlaanderen is eigenaar van deze services (product owner) 

• Agentschap Digitaal Vlaanderen staat in voor het product management.  Dat omvat de algemene governance, en de activiteiten op vlak van service strategie en service design.  De service strategie omvat ook het financieel management. 

• Agentschap Digitaal Vlaanderen staat in voor service management en voor het service delivery management.  De operationele dienstverlening is uitbesteed aan de dienstverlener DXC-Cegeka binnen de diensten van het ICT raamcontract 2022 (AMaaS dienst)  

• Agentschap Digitaal Vlaanderen staat in voor de evolutie van de dienstverlening (service transition), dit omvat het programma management van infrastructuur- en/of verbeteringsprojecten. 

AWS is gebaseerd op een “Shared Responsability model”

In kader van de bouwsteen “encryptie at rest in AWS” betekent het blauwe deel “Customer”: 

• De VO afnemer die van de bouwsteen “encryptie at rest in AWS” gebruikt maakt. 

  • De afnemer is verantwoordelijk om zijn gegevens (geëncrypteerd of gedecrypteerd) te beschermen en de juiste autorisaties, delegaties en dus in algemene de toegangen naar de sleutels op te zetten. 

•  

  • De afnemer is verantwoordelijk voor de beschikbaarheid van zijn gegevens. Hij moet dus de nodige maatregelen (b.v. hoge beschikbaarheid, back-up,..) implementeren om in lijn met zijn RTO/RPO te zijn. De afnemer is ook verantwoordelijk voor de rotatie van de Data Key (DK). Zie sectie “Rotatie van sleutels” voor meer informatie over dit onderwerp. 

• Het Agentschap Digitaal Vlaanderen die de KMS dienst aan andere VO entiteiten aanbiedt: 

  • Het Agentschap Digitaal Vlaanderen is verantwoordelijk voor de generatie van de sleutels (CMK) en voor de configuratie van initiële opzet van de autorisaties, delegaties cross account tussen de “AWS KMS account” en de “AWS eindklant account” 

  • Het Agentschap Digitaal Vlaanderen is verantwoordelijk om de nodige processen en organisatorische maatregelen te implementeren om zijn AWS KMS account van externe aanvallen of misconfiguratie te beschermen. 

Auditeerbaarheid

KMS maakt gebruik van PAMaaS dienstverlening, waarbij de toegang tot de beheersmodule gebeurt via het PAMaaS platform op basis van een volledig auditeerbaar proces:

• Het aanmaken van de sleutels gebruikt de toegangspolitiek “PAM / Motivated access” op basis van het feit dat nieuwe sleutels geen informatie beveiligen.  Dat doen ze pas na het aanmaken en toepassen van de sleutels. 

• Het beheren van de sleutels gebruikt de toegangspolitiek “PAM / Secure access” op basis van het feit dat deze bestaande sleutels informatie afschermen op de operationele platformen van de betrokken klant.