SEC 9: 您如何保護傳輸中資料？

實作多個控制以保護傳輸中的資料，減少未經授權的存取或遺失的風險。

資源

AWS Certificate Manager
Services Integrated with AWS Certificate Manager
HTTPS Listeners for Your Application Load Balancer
AWS VPN
API Gateway Edge-Optimized

最佳實務:

• 實作安全金鑰和憑證管理: 安全地儲存加密金鑰和憑證，並透過施行嚴格的存取控制在合宜的時刻進行輪換；例如，使用 AWS Certificate Manager (ACM) 等憑證管理服務。

• 強制執行傳輸中加密: 根據適當的標準和建議強制執行已定義的加密要求，協助您符合組織、法律和合規上的要求。

• 自動偵測意外的資料存取: 您可使用 GuardDuty 這類工具，根據資料分類層級，自動偵測將資料移到所定義邊界以外的嘗試；例如使用 DNS 通訊協定，偵測出將資料複製到未知或不信任網路的木馬程式。

• 驗證網路通訊: 使用支援身份驗證的通訊協定 (Transport Layer Security (TLS) 或 IPsec) 來驗證通訊的身分。

改進方案

實作安全金鑰和憑證管理

實作安全金鑰和憑證管理: 實作您定義的安全金鑰和憑證管理解決方案。
AWS Certificate Manager
How to host and manage an entire private certificate infrastructure in AWS

實作安全協定: 使用提供身份驗證和機密性的安全協定 (例如 Transport Layer Security (TLS) 或 IPsec) 來減少資料竄改或遺失的風險。請查看 AWS 文件，了解與您使用的服務相關的協定和安全性。
AWS Documentation

強制執行傳輸中加密

強制執行傳輸中加密: 您定義的加密要求應符合最新標準和最佳實務，並僅允許採用安全協定。例如，將安全群組設定為僅允許 HTTPS 協定到 Application Load Balancer 或 EC2 執行個體。

在邊緣服務中設定安全協定: 使用 Amazon CloudFront 和必需的加密法設定 HTTPS。
Using HTTPS with CloudFront

使用 VPN 進行外部連線: 考慮使用 IPsec VPN 來保護點對點或網路對網路連線，以提供資料隱私和完整性。
VPN connections

在負載平衡器中設定安全協定: 啟用 HTTPS 接聽程式以保護與負載平衡器的連線。
HTTPS listeners for your application load balancer

為執行個體設定安全協定: 考慮在執行個體上設定 HTTPS 加密。
Tutorial: Configure Apache web server on Amazon Linux 2 to use SSL/TLS

在 Amazon Relational Database Service (Amazon RDS) 中設定安全協定: 使用 SSL/TLS 加密與資料庫執行個體的連線。
Using SSL to encrypt a connection to a DB Instance

在 Amazon Redshift 中設定安全協定: 設定叢集以請求 SSL/TLS 連線。
Configure security options for connections

為其他 AWS 服務設定安全協定: 根據使用的 AWS 服務確定傳輸中加密功能。
AWS documentation

自動偵測意外的資料存取

自動偵測意外的資料存取: 使用工具或偵測機制自動偵測將資料移出定義邊界的嘗試；例如，偵測將資料複製到未認證主機的資料庫系統。
VPC Flow Logs

考慮使用 Amazon Macie: Amazon Macie 會持續監控資料存取活動是否有異常，並在偵測到未經授權存取或資料意外洩露的風險時產生詳細的提醒。
Amazon Macie

驗證網路通訊

實作安全協定: 使用提供身份驗證和機密性的安全協定 (例如 Transport Layer Security (TLS) 或 IPsec) 來減少資料竄改或遺失的風險。請參閱 AWS 文件，了解與您使用的服務相關的協定和安全性。
AWS Documentation