Natuurlijk! Hier is een uitgebreide strategie voor het veilig roteren van encryptiesleutels in je Vault 1.8-implementatie, rekening houdend met PCI-DSS-normen en je wensen: **1. Best practices voor sleutelrotatie in Vault** - **Automatiseer de rotatie:** Gebruik schedulers of CI/CD-pipelines om regelmatige rotatie te garanderen zonder handmatige tussenkomst. - **Gebruik meerdere sleutelversies:** Vault ondersteunt sleutelversies; zorg dat je meerdere versies hebt zodat je na rotatie zonder onderbreking door kunt schakelen. - **Versleuteling met kluis- of transit-engine:** Overweeg gebruik van de Transit secrets engine voor dynamische sleutelbeheer en rotatie. - **Implementatie van key versions:** Houd oude versies totdat je zeker bent dat de nieuwe correct wordt gebruikt en dat alle systemen zijn aangepast. - **Beveilig toegang tot sleutels:** Beperk toegang tot sleutelbeheer en audit alle activiteiten. **2. Configuratievoorbeelden voor Vault 1.8** *Voor het beheren van encryptiesleutels met een key wrapping en rotatie:* ```bash # Maak een nieuwe AES-256-GCM sleutel vault write -f transit/keys/my-encryption-key \ type=aes256-gcm96 \ convergent_encryption=false \ exportable=false \ allow_decrypt=true \ auto_rotate_period=55h ``` *In dit voorbeeld:* - `auto_rotate_period=55h` zorgt dat er elke 55 uur automatisch een nieuwe sleutelversie wordt aangemaakt, waardoor de rotatiefrequentie ongeveer 1.8 wordt (omgerekend). Pas dit aan op basis van je exacte frequentiewens. *Om de sleutel te roteren handmatig:* ```bash vault write transit/keys/my-encryption-key/rotate ``` *Om een nieuwe sleutelversie te gebruiken voor encryptie:* ```bash vault write transit/encrypt/my-encryption-key plaintext=$(base64 /path/to/plaintext) ``` *Voor decryptie:* ```bash vault write transit/decrypt/my-encryption-key ciphertext=<ciphertext> ``` **3. Automatisering en integratie** - **Gebruik Cron-jobs of schedulers:** Plan automatische rotatie via scripts die periodiek draaien. - **CI/CD integratie:** Integreer sleutelrotatie in je deployment pipelines. - **Monitoring en alerts:** Gebruik Vault audit logs en monitoring tools om rotatie-activiteiten te volgen en eventuele afwijkingen te detecteren. - **Rollback strategie:** Zorg dat oude sleutels bewaard blijven totdat je zeker bent dat alle systemen de nieuwe sleutel gebruiken. **4. Naleving PCI-DSS** - **Key Management:** PCI-DSS vereist dat cryptografische sleutels veilig worden beheerd en periodiek worden geroteerd. - **Key Length en Algoritmen:** Gebruik AES-256-GCM zoals je nu doet. - **Sleutelversiebeheer:** Houd oude sleutels voor een bepaalde periode (bijvoorbeeld 1 jaar) en verwijder ze pas nadat je zeker bent dat alle gegevens veilig zijn hersteld. - **Audit en rapportage:** Documenteer alle rotaties en toegang tot sleutels. **5. Samenvatting van stappen** 1. Configureer automatische rotatie met `auto_rotate_period` in je Transit key. 2. Stel periodieke scripts of schedulers in voor handmatige rotatie, indien nodig. 3. Test de rotatieprocedure in een testomgeving om onderbrekingen te voorkomen. 4. Implementeer monitoring en alerts voor sleutelactiviteiten. 5. Documenteer alle procedures in overeenstemming met PCI-DSS. --- Heeft u verdere specifieke vragen of hulp bij het schrijven van scripts of het opzetten van de automatisering?

Zeker, hieronder vindt u een gedetailleerde strategie voor het veilig roteren van AES-256-GCM encryptiesleutels in HashiCorp Vault (versie 1.8) conform PCI-DSS vereisten. ### **Belangrijkste Principes & Best Practices** 1. **PCI-DSS Vereisten (Hoofdzakelijk uit Req. 3)** - Sleutels moeten worden geroteerd op basis van een gedefinieerd interval (bijv. jaarlijks). - Rotatie moet cryptografisch sterk materiaal gebruiken. - Oude sleutels moeten veilig worden vernietigd (of gearchiveerd voor decryptie). - Het proces moet worden gedocumenteerd en geaudit. 2. **Vault-specifieke Concepten** - **Encryption Key Ring:** Elke versleutelingssleutel (Key) maakt deel uit van een Key Ring. Bij rotatie wordt een nieuwe sleutel aan de ring toegevoegd. - **Key Versies:** Vault houdt versies bij. De nieuwste versie is de *primary* voor encryptie, maar alle versies in de ring kunnen decrypten. - **Min Available Version:** Stel dit in om oude sleutelversies veilig te kunnen verwijderen. 3. **Algemene Best Practices** - **Geen Service-onderbreking:** Dankzij de Key Ring decryptie is er geen downtime. - **Backup & Herstel:** Zorg voor een robuuste backup van Vault (bijv. met Integrated Storage of Raft). - **Toegangsbeheer:** Beperk toegang tot sleutelbeheer met Vault-beleid. - **Audit Logging:** Schakel de Vault Audit Device in om alle sleuteloperaties te loggen. --- ### **Stapsgewijze Rotatiestrategie** #### **Stap 1: Voorbereiding & Controle** Controleer de huidige sleutelstatus voordat u rotatie uitvoert. ```bash # Voorbeeld: Controleer de huidige sleutels in een Transit Secret Engine genaamd 'payment-data' vault read payment-data/keys/my-aes-key ``` Uitvoer zal laten zien: - `latest_version`: De huidige primaire sleutel (bijv. 2). - `min_available_version`: De oudste beschikbare versie voor decryptie. - `min_decryption_version`: De oudste versie die Vault zal gebruiken voor decryptie. #### **Stap 2: Sleutelrotatie Uitvoeren** Voer de rotatie uit. Dit genereert een nieuwe sleutelversie. ```bash # Roteer de sleutel vault write -f payment-data/keys/my-aes-key/rotate ``` Bevestig de rotatie: ```bash vault read payment/data/keys/my-aes-key ``` `latest_version` is nu verhoogd (bijv. naar 3). Nieuwe data wordt versleuteld met versie 3. #### **Stap 3: (Optioneel) Herwrap van bestaande data** Als u bestaande, met een oude sleutel versleutelde data opnieuw wilt versleutelen met de nieuwe sleutel, gebruikt u `rewrap`: ```bash # Herwrap alle data versleuteld met een specifieke oude versie vault write payment-data/rewrap/my-aes-key batch_input="$(vault list -format=json payment-data/keys/my-aes-key | jq -r '.[]' | while read key; do echo "{\"ciphertext\": \"$key\"}"; done)" ``` *Opmerking: Dit commando is een conceptueel voorbeeld. In de praktijk moet u uw specifieke data structuur en toegangsmethoden (bijv. een applicatie die data leest, decrypt, en opnieuw encrypt met de nieuwe key) in acht nemen. Automatische herwrap is vaak het meest efficiënt geïntegreerd in uw applicatielogica.* #### **Stap 4: Oude Sleutelversies Beheren** Stel `min_decryption_version` in om te voorkomen dat verouderde sleutels worden gebruikt voor decryptie. ```bash # Stel in dat versies ouder dan 2 niet meer gebruikt mogen worden voor decryptie vault write payment-data/keys/my-aes-key/config min_decryption_version=2 ``` Na verloop van tijd, wanneer u zeker weet dat alle data die met versie 1 was versleuteld, niet meer nodig is, kunt u de sleutel veilig verwijderen uit de key ring. ```bash # Verwijder sleutelversie 1 definitief vault write payment-data/keys/my-aes-key/trim min_available_version=2 ``` *Let op: Deze actie is permanent en onomkeerbaar. Zorg ervoor dat versie 1 nooit meer nodig is voor decryptie.* --- ### **Configuratie & Automatisering** #### **1. Vault Beleid voor Toegangscontrole** Creëer een specifiek beleid voor sleutelrotatie (bijv. `key-rotation-policy.hcl`): ```hcl # key-rotation-policy.hcl path "payment-data/keys/my-aes-key/rotate" { capabilities = [ "update" ] } path "payment-data/keys/my-aes-key/config" { capabilities = [ "read", "update" ] } path "payment-data/keys/my-aes-key" { capabilities = [ "read" ] } ``` Werk dit beleid bij met de juiste paden voor uw Transit Secret Engine. #### **2. Automatisering met Vault CLI & Cron/Taakplanner** Maak een script (bijv. `rotate-key.sh`): ```bash #!/bin/bash # rotate-key.sh # Authenticeer met Vault (gebruik bijv. AppRole of een andere methode) # VOORBEELD - pas authenticatie aan naar uw omgeving! export VAULT_ADDR='https://vault-server:8200' vault login -method=userpass username="rotation-service" password="$SERVICE_PASSWORD" # Roteer de sleutel vault write -f payment-data/keys/my-aes-key/rotate # Log de actie echo "$(date): Sleutel my-aes-key geroteerd." >> /var/log/vault-key-rotation.log ``` Plan dit script in met `cron` (Linux) of Taakplanner (Windows): ```bash # Voer uit elke 365 dagen (jaarlijkse rotatie, in lijn met PCI-DSS) 0 0 1 1 * /path/to/rotate-key.sh ``` #### **3. Automatisering met Vault API & CI/CD** Integreer rotatie in uw CI/CD-pijplijn (bijv. Jenkins, GitLab CI): ```yaml # .gitlab-ci.yml (voorbeeld) stages: - key-rotation rotate_prod_key: stage: key-rotation script: - | curl --header "X-Vault-Token: $VAULT_TOKEN" \ --request POST \ $VAULT_ADDR/v1/payment-data/keys/my-aes-key/rotate only: - schedules # Voer alleen uit via een gepland pipeline environment: production ``` --- ### **Aanvullende Aanbevelingen voor Beveiliging & Naleving** 1. **Audit Logging:** Controleer regelmatig de Vault audit logs om sleutelrotaties en toegang te monitoren. 2. **Version Control:** Gebruik Terraform of een andere IaC-tool om de Transit Engine en sleutelconfiguratie te beheren. Rotatie zelf is een runtime-actie, maar de initiële setup kan worden gecodeerd. 3. **Backup Strategy:** Zorg ervoor dat uw Vault-cluster regelmatig wordt geback-upt. De encryptiesleutels zijn opgeslagen in de Vault storage. 4. **Test in Ontwikkeling:** Test het volledige rotatieproces eerst uitgebreid in een ontwikkel- of testomgeving. 5. **Documentatie:** Documenteer het rotatieproces, de frequentie, rollen en verantwoordelijkheden om aan PCI-DSS documentatie-eisen te voldoen. Deze strategie zorgt voor een veilige, geautomatiseerde en PCI-DSS compliant rotatie van uw AES-256-GCM sleutels in Vault 1.8 zonder service-onderbreking.