此內容已過時。這個版本的 Well-Architected 框架現在可以在以下位置找到: https://docs.aws.amazon.com/zh_tw/wellarchitected/2022-03-31/framework/security.html

SEC 8: 您如何保護靜態資料?

實作多個控制來保護您的靜態資料,以降低未經授權的存取或不當處理的風險。

資源

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

最佳實務:

改進方案

實作安全金鑰管理

  • 實作 AWS Key Management Service (AWS KMS): AWS Key Management Service (AWS KMS) 可讓您輕鬆建立和管理金鑰,並控制多種 AWS 服務和應用程式中的加密使用。AWS KMS 是一種安全且具彈性的服務,使用經過 FIPS 140-2 驗證的硬體安全模組來保護您的金鑰。
    Getting started: AWS Key Management Service (AWS KMS)
  • 考慮使用 AWS 加密開發套件: 當您的應用程式需要在用戶端對資料進行加密時,可使用整合 AWS KMS 的 AWS 加密開發套件。
    AWS Encryption SDK

    • 強制執行靜態加密

  • 強制對 Amazon S3 強制執行靜態加密: 實作 S3 儲存貯體預設加密。
    How do I enable default encryption for an S3 bucket?
  • 使用 AWS Secrets Manager: AWS Secrets Manager 是一項 AWS 服務,可讓您更輕鬆地管理機密。機密可以是資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。
    AWS Secrets Manager
  • 設定新 EBS 磁碟區的預設加密: 使用 AWS 提供的預設金鑰或您自行建立的金鑰,指定您希望以加密形式建立所有新的 EBS 磁碟區。
    Default encryption for EBS volumes
  • 設定加密的 Amazon Machine Images (AMI): 複製已啟用加密的現有 AMI 會自動加密根磁碟區和快照。
    AMIs with encrypted Snapshots
  • 設定 Amazon RDS 加密: 透過啟用加密選項,為您的 Amazon RDS 資料庫叢集和靜態快照設定啟用加密。
    Encrypting Amazon RDS resources
  • 在其他 AWS 服務中設定加密: 根據使用的 AWS 服務確定加密功能。
    AWS Documentation

    • 自動化靜態資料保護

    強制執行存取控制

  • 強制執行存取控制: 強制執行最低權限存取控制,包括對加密金鑰的存取。
    Introduction to Managing Access Permissions to Your Amazon S3 Resources
  • 根據不同的分類層級分離資料: 針對由 AWS Organizations 管理的資料分類層級,使用不同的 AWS 帳戶。
    AWS Organizations
  • 審查 AWS KMS 政策: 審查 AWS KMS 政策中授予的存取層級。
    Overview of managing access to your AWS KMS resources
  • 審查 S3 儲存貯體和物件權限: 定期審查 Amazon S3 儲存貯體政策中授予的存取等級。最佳實務是不要設定公開可讀取或可寫入的儲存貯體。考慮使用 AWS Config 偵測公開可用的儲存貯體,以及使用 Amazon CloudFront 從 Amazon S3 提供內容。
    AWS Config Rules
    Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
  • 啟用 Amazon S3 版本控制和物件鎖定
    Using versioning
    Locking Objects Using Amazon S3 Object Lock
  • 使用 Amazon S3 庫存: Amazon S3 庫存 Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的一項工具。
    Amazon S3 Inventory
  • 審查 Amazon EBS 和 AMI 分享權限: 分享權限可以允許將影像和磁碟區分享到工作負載外部的 AWS 帳戶。
    Sharing an Amazon EBS Snapshot
    Shared AMIs

    • 使用限制人員存取資料的機制

  • 實作限制人員存取資料的機制: 這些機制包括使用 Amazon QuickSight 等儀表板向使用者顯示資料,而不是直接查詢。
    Amazon QuickSight
  • 自動化組態管理: 透過使用組態管理服務或工具,在遠距離執行動作,並自動執行和驗證安全組態。避免使用堡壘主機或直接存取 EC2 執行個體。
    AWS Systems Manager
    AWS CloudFormation
    CI/CD Pipeline for AWS CloudFormation templates on AWS