Protection des données au repos
Les données au repos représentent toutes les données que vous conservez dans un stockage non volatil pendant toute la durée de votre charge de travail. Cela comprend le stockage par bloc, le stockage d’objets, les bases de données, les archives, les appareils IoT et tout autre support de stockage sur lequel les données sont conservées. La protection de vos données inactives permet de réduire le risque d’accès non autorisé, lorsque le chiffrement et les contrôles d’accès appropriés sont mis en place.
Le chiffrement et la création de jetons sont deux programmes de protection des données distincts, mais importants.
La création de jetons est un processus qui vous permet de définir un jeton pour représenter une information sensible (par exemple, un jeton pour représenter le numéro de carte de crédit d’un client). Un jeton doit être vide de sens en soi et ne doit pas être dérivé des données qu’il contient. Par conséquent, un algorithme de chiffrement n’est pas utilisable comme jeton. En planifiant soigneusement votre approche de création de jetons, vous pouvez renforcer la protection de votre contenu et vous assurer que vous répondez à vos exigences de conformité. Par exemple, vous pouvez réduire le champ de conformité d’un système de traitement des cartes de crédit si vous utilisez un jeton au lieu d’un numéro de carte de crédit.
Le chiffrement est un moyen de transformer un contenu de manière à le rendre illisible sans clé secrète, nécessaire pour le déchiffrer. La création de jetons et le chiffrement peuvent être utilisés pour sécuriser et protéger des informations, le cas échéant. En outre, le masquage est une technique qui permet d’expurger une partie d’une donnée jusqu’à ce que le reste de la donnée ne soit plus considéré comme sensible. Par exemple, PCI - DSS permet de conserver les quatre derniers chiffres d'un numéro de carte en dehors de la limite du champ de conformité pour l'indexation.
Auditer l’utilisation des clés de chiffrement : vous devez comprendre et contrôler l’utilisation des clés de chiffrement afin de vérifier que les mécanismes de contrôle d’accès sur les clés sont correctement mis en œuvre. Par exemple, tout AWS service utilisant une AWS KMS clé enregistre chaque utilisateur AWS CloudTrail. Vous pouvez ensuite demander AWS CloudTrail, à l'aide d'un outil tel qu'Amazon CloudWatch Logs Insights, pour vous assurer que toutes les utilisations de vos clés sont valides.