SEC08-BP02 強制靜態加密 - 安全支柱

SEC08-BP02 強制靜態加密

加密私有靜態資料以維持機密性,並提供一層額外的保護,以防止意外揭露或洩露資料。加密可保護資料,防止資料在未先解密的情況下遭到讀取或存取。清查和控制未加密的資料,以降低資料暴露伴隨的風險。

預期成果:您建立了預設加密靜態私有資料的機制。這些機制有助於維持資料的機密性,並提供一層額外的保護,以防有意或不慎揭露或洩露資料。您維護未加密資料的庫存,並了解為了保護資料而採取的控制措施。

常見的反模式:

  • 未使用預設加密組態。

  • 對解密金鑰提供過於寬鬆的存取權。

  • 未監控加密和解密金鑰的使用。

  • 在未加密的情況下儲存資料。

  • 對所有資料使用相同的加密金鑰,無論資料使用方式、類型和分類。

未建立此最佳實務時的曝險等級:

實作指引

在工作負載中將加密金鑰對應到資料分類。當對資料使用單一或極少數的加密金鑰時,此方法有助於防止過於寬鬆的存取權 (請參閱 SEC07-BP01 了解您的資料分類機制)。

AWS Key Management Service (AWS KMS) 與許多 AWS 服務整合,更方便您加密靜態資料。例如,在 Amazon Elastic Compute Cloud (Amazon EC2) 中,您可以在帳戶上設定預設加密,以便自動加密新的 EBS 磁碟區。當使用 AWS KMS 時,考慮需要嚴格限制資料的程度。AWS 會代表您管理及使用預設和服務控制的 AWS KMS 金鑰。對於需要對基礎加密金鑰的精細存取權之敏感資料,可考慮客戶自管金鑰 (CMK)。您可全權控制 CMK,包括透過使用金鑰政策進行輪換和存取管理。

此外,像是 Amazon Simple Storage Service (Amazon S3) 等服務現在預設會加密所有新物件。此實作提供了更強大的安全性,而且不會影響效能。

其他服務像是 Amazon Elastic Compute Cloud (Amazon EC2) 或 Amazon Elastic File System (Amazon EFS),都可支援預設加密的設定。您也可以使用 AWS Config 規則 自動檢查您是否對 Amazon Elastic Block Store (Amazon EBS) 磁碟區Amazon Relational Database Service (Amazon RDS) 執行個體Amazon S3 儲存貯體,以及組織內的其他服務使用加密。

AWS 也提供用戶端加密選項,允許您在上傳到雲端之前加密資料。AWS Encryption SDK 提供使用封套加密來加密資料的方法。您提供包裝金鑰,而 AWS Encryption SDK 會為它加密的每個資料物件產生唯一的資料金鑰。如果您需要受管的單一租用戶硬體安全模組 (HSM),可考慮 AWS CloudHSM。AWS CloudHSM 可讓您在 FIPS 140-2 3 級驗證的 HSM 上產生、匯入和管理加密金鑰。AWS CloudHSM 的一些使用案例包括保護用於核發憑證認證機構 (CA) 的私有金鑰,以及為 Oracle 資料庫開啟透明資料加密 (TDE)。AWS CloudHSM 用戶端 SDK 提供軟體,可讓您在將資料上傳到 AWS 之前,使用儲存在 AWS CloudHSM 內的金鑰加密資料用戶端。Amazon DynamoDB Encryption Client 還允許您在上傳到 DynamoDB 資料表之前,加密和簽署項目。

實作步驟

  • 新的 Amazon EBS 磁碟區設定預設加密使用 AWS 提供的預設金鑰或您自行建立的金鑰,指定您希望以加密形式建立所有新的 Amazon EBS 磁碟區。

  • 設定加密的 Amazon Machine Images (AMI):複製已設定加密的現有 AMI 會自動加密根磁碟區和快照。

  • 設定 Amazon RDS 加密透過使用加密選項,為您的 Amazon RDS 資料庫叢集和靜態快照設定加密。

  • 使用政策限制對適當主體的存取,為每個資料分類建立和設定 AWS KMS 金鑰:例如,建立一個 AWS KMS 金鑰用於加密生產資料,另一個金鑰用於加密開發或測試資料。您還可以提供金鑰來存取其他 AWS 帳戶。考慮針對開發和生產環境擁有不同的帳戶。如果您的生產環境需要解密開發帳戶中的成品,您可以編輯用來加密開發成品的 CMK 金鑰,使生產帳戶能夠解密這些成品。生產環境接著可以擷取解密的資料以用於生產。

  • 在其他 AWS 服務中設定加密:對於您使用的其他 AWS 服務,請檢閱該服務的安全文件,以確定該服務的加密選項。

資源

相關文件:

相關影片: