Scope encryptie
De bouwsteen “encryptie at rest in AWS” is in staat om de volgende types van gegevens te encrypteren:
- Disk Volume (file systeem) – AWS EBS
- Databank– AWS RDS (server side)
- Object Storage – AWS S3 (server side)
- NoSQL databank – AWS DynamoDB (server side)
- Parameter Store – AWS dienst voor beheer van configuratie en geheimen
- Cloudwatch – Applicatie en infrastructuurmonitoring
- Cloudtrail – Activity en API usage monitoring
- AWS SNS – Simple Notification Service
Bijkomende policies kunnen aangevraagd worden via integraties@vlaanderen.be
Certificatie
AWS KMS HSM is FIPS 140-2 gecertificeerd. Meer informatie over de certificatie is beschikbaar op de NIST website.
Accountabiliteit
Het Agentschap Digitaal Vlaanderen hanteert een gescheiden verantwoordelijkheidsmodel bij zijn dienstenaanbod, waarbij zowel het agentschap Digitaal Vlaanderen als aanbieder en de diensten afnemer hun rol en bijhorende verantwoordelijkheden opnemen.
- Agentschap Digitaal Vlaanderen is aansprakelijk (A) en verantwoordelijk (R) voor deze dienstverlening;
- Agentschap Digitaal Vlaanderen is eigenaar van deze services (product owner)
- Agentschap Digitaal Vlaanderen staat in voor het product management. Dat omvat de algemene governance, en de activiteiten op vlak van service strategie en service design. De service strategie omvat ook het financieel management.
- Agentschap Digitaal Vlaanderen staat in voor service management en voor het service delivery management. De operationele dienstverlening is uitbesteed aan de dienstverlener DXC-Cegeka binnen de diensten van het ICT raamcontract 2022 (AMaaS dienst)
- Agentschap Digitaal Vlaanderen staat in voor de evolutie van de dienstverlening (service transition), dit omvat het programma management van infrastructuur- en/of verbeteringsprojecten.
AWS is gebaseerd op een “Shared Responsability model”
In kader van de bouwsteen “encryptie at rest in AWS” betekent het blauwe deel “Customer”:
- De VO afnemer die van de bouwsteen “encryptie at rest in AWS” gebruikt maakt.
- De afnemer is verantwoordelijk om zijn gegevens (geëncrypteerd of gedecrypteerd) te beschermen en de juiste autorisaties, delegaties en dus in algemene de toegangen naar de sleutels op te zetten.
- De afnemer is verantwoordelijk voor de beschikbaarheid van zijn gegevens. Hij moet dus de nodige maatregelen (b.v. hoge beschikbaarheid, back-up,..) implementeren om in lijn met zijn RTO/RPO te zijn. De afnemer is ook verantwoordelijk voor de rotatie van de Data Key (DK). Zie sectie “Rotatie van sleutels” voor meer informatie over dit onderwerp.
- Het Agentschap Digitaal Vlaanderen die de KMS dienst aan andere VO entiteiten aanbiedt:
- Het Agentschap Digitaal Vlaanderen is verantwoordelijk voor de generatie van de sleutels (CMK) en voor de configuratie van initiële opzet van de autorisaties, delegaties cross account tussen de “AWS KMS account” en de “AWS eindklant account”
- Het Agentschap Digitaal Vlaanderen is verantwoordelijk om de nodige processen en organisatorische maatregelen te implementeren om zijn AWS KMS account van externe aanvallen of misconfiguratie te beschermen.
Security
//Confidentialiteit, Integriteit, Accountabiliteit en Authenticiteit kunnen hier beschreven worden
KMS is onderhevig aan Privileged Access Management (PAM) - voorzien door de eigen PAMaaS bouwsteen.
Bewaardtijd van sessie opnames | Opnames van de PAMaaS oplossing, voor het beheer van de |
Bewaartijd van event logs | Event logs worden voor x dagen/weken/maanden bijgehouden |