本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為靜態資料建立企業加密策略
文基斯里瓦扎夫,安德烈·迪法比奧和維克拉馬迪亞·巴哈特納加爾,亞馬 Amazon Web Services(AWS)
2022 年九月 (文件歷史記錄)
許多企業都擔心數據洩露的網絡安全威脅。發生數據洩露時,未經授權的人可以訪問您的網絡並竊取企業數據。防火牆和反惡意程式碼服務可協助防範此威脅。您可以實作的另一個保護是資料加密。在本指南的「關於資料加密」一節中,您可以進一步瞭解資料加密的運作方式以及可用的類型。
一般來說,當您討論加密時,有兩種類型的數據。傳輸中的資料是指在網路中主動移動的資料,例如在網路資源之間移動。靜態資料是指靜止且處於休眠狀態的資料,例如儲存中的資料。此策略著重靜態資料。如需加密傳輸中資料的詳細資訊,請參閱保護傳輸中的資料 (AWSWell-Architected 的架構)。
加密策略由您按順序開發的四個部分組成。加密政策由高級管理層決定,概述了加密的法規,合規性和業務要求。加密標準可幫助實施政策的人了解並遵守它。標準可以是技術或程序性的。該框架是支持標準實施的標準操作程序,結構和護欄。最後,架構是加密標準的技術實作,例如您使用的環境、服務和工具。本文件的目的是協助您建立符合您業務、安全性和合規性需求的加密策略。其中包含有關如何檢閱和實作靜態資料安全標準的建議,以便您能夠以整體方式滿足合規性和業務需求。
此策略使用AWS Key Management Service (AWS KMS) 來協助您建立和管理有助於保護資料的加密金鑰。 AWS KMS與許多AWS服務集成以加密所有靜態數據。即使您選擇不同的加密服務,您仍然可以採用本指南中的建議和階段。
目標對象
該策略旨在針對以下受眾:
-
為企業制定政策的執行官,例如 CEO、技術長 (CTO)、資訊長 (CIO) 和資訊安全長 (CIO),以及資訊安全長 (CISO)
-
負責制定技術標準的技術人員,例如技術副總裁和董事
-
負責監察遵守合規政策(包括法定和自願遵循制度)的合規和治理人員
目標業務成果
-
Data-at-rest 加密策略 — 決策者和政策制定者可以創建加密策略並了解影響策略的關鍵因素。
-
Data-at-rest 加密標準 — 技術領導者可以根據加密策略開發加密標準。
-
加密框架 — 技術領導者和實施者可以創建一個框架,作為決定策略者和創建標準的人之間的橋樑。架構,在此內容中,意味著識別適當的流程和工作流程,可協助您在原則的範圍內實作標準。架構類似於用於變更政策或標準的標準作業程序或變更管理程序。
-
技術架構和實作 — 實作實作者 (例如開發人員和架構師) 都知道可用的架構參考,協助他們實作加密策略。
限制
本文件旨在協助您制定最適合企業需求的自訂加密策略。它本身不是加密策略,也不是合規性檢查清單。下列主題不包含在本文件中:
-
傳輸中加密
-
字符化
-
雜湊
-
合規性與資料控管
-
為您的加密程序編列預算
如需上述個別主題的詳細資訊,請參閱以下資源部份。
