Allgemeine bewährte Methoden für die Verschlüsselung - AWS Präskriptive Leitlinien
DatenklassifizierungVerschlüsseln von Daten während der Übertragung.Verschlüsselung gespeicherter Daten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Allgemeine bewährte Methoden für die Verschlüsselung

Dieser Abschnitt enthält Empfehlungen, die für die Verschlüsselung von Daten in der AWS Cloud gelten. Diese allgemeinen bewährten Methoden zur Verschlüsselung sind nicht spezifisch für. AWS-Services In diesem Abschnitt werden folgende Themen behandelt:

Datenklassifizierung

Datenklassifizierung ist ein Prozess zur Identifizierung und Kategorisierung der Daten in Ihrem Netzwerk auf der Grundlage ihrer Kritikalität und Sensitivität. Sie ist eine wichtige Komponente jeder Strategie für das Management von Cybersecurity-Risiken, da sie Ihnen hilft, die geeigneten Schutz- und Aufbewahrungskontrollen für die Daten zu bestimmen. Die Datenklassifizierung ist ein Bestandteil der Sicherheitssäule im AWS Well-Architected Framework. Zu den Kategorien könnten gehören sehr vertraulich, vertraulich, nicht vertraulich, und öffentlich, aber die Klassifizierungsstufen und ihre Namen können von Organisation zu Organisation unterschiedlich sein. Weitere Informationen zum Datenklassifizierungsprozess, zu Überlegungen und Modellen finden Sie unter Datenklassifizierung (AWS Whitepaper).

Nachdem Sie Ihre Daten klassifiziert haben, können Sie eine Verschlüsselungsstrategie für Ihre Organisation erstellen, die auf dem für jede Kategorie erforderlichen Schutzniveau basiert. Beispielsweise könnte Ihre Organisation entscheiden, dass für streng vertrauliche Daten eine asymmetrische Verschlüsselung verwendet werden sollte und dass für öffentliche Daten keine Verschlüsselung erforderlich ist. Weitere Informationen zum Erstellen einer Verschlüsselungsstrategie finden Sie unter Erstellen einer unternehmensweiten Verschlüsselungsstrategie für Daten im Ruhezustand. Die technischen Überlegungen und Empfehlungen in diesem Handbuch beziehen sich zwar auf Daten im Ruhezustand, Sie können jedoch auch den schrittweisen Ansatz verwenden, um eine Verschlüsselungsstrategie für Daten während der Übertragung zu erstellen.

Verschlüsseln von Daten während der Übertragung.

Alle Daten, die AWS-Regionen über das AWS globale Netzwerk übertragen werden, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie AWS gesicherte Einrichtungen verlassen. Der gesamte Verkehr zwischen Availability Zones ist verschlüsselt.

Im Folgenden finden Sie allgemeine bewährte Methoden für die Verschlüsselung von Daten während der Übertragung in AWS Cloud:

  • Definieren Sie eine organisatorische Verschlüsselungsrichtlinie für Daten während der Übertragung, die auf Ihrer Datenklassifizierung, den organisatorischen Anforderungen und allen geltenden behördlichen oder Compliance-Standards basiert. Wir empfehlen dringend, Daten während der Übertragung als hochvertraulich oder vertraulich eingestufte Daten zu verschlüsseln. Ihre Richtlinie kann bei Bedarf auch die Verschlüsselung für andere Kategorien vorschreiben, z. B. für nicht vertrauliche oder öffentliche Daten.

  • Bei der Verschlüsselung von Daten während der Übertragung empfehlen wir die Verwendung anerkannter Kryptografiealgorithmen, Blockverschlüsselungsmodi und Schlüssellängen, wie in Ihrer Verschlüsselungsrichtlinie definiert.

  • Verschlüsseln Sie den Verkehr zwischen Informationsressourcen und Systemen innerhalb des Unternehmensnetzwerks und der AWS Cloud Infrastruktur mithilfe einer der folgenden Methoden:

    • AWS Site-to-Site VPN-Verbindungen

    • Eine Kombination aus AWS Direct ConnectVerbindungen AWS Site-to-Site VPN und, die eine IPsec verschlüsselte private Verbindung ermöglicht

    • AWS Direct Connect Verbindungen, die MAC Security (MACsec) unterstützen, um Daten von Unternehmensnetzwerken zum Standort zu verschlüsseln AWS Direct Connect

  • Erstellen Sie für Ihre Verschlüsselungsschlüssel auf der Grundlage des Prinzips der geringsten Berechtigung. Geringste Berechtigung ist die bewährte Sicherheitsmethode, um Benutzern den Mindestzugriff zu gewähren, den sie zur Ausführung ihrer Aufgaben benötigen. Weitere Hinweise zur Anwendung von Berechtigungen mit den geringsten Rechten finden Sie unter Bewährte Methoden für die Sicherheit in IAMund Bewährte Methoden für IAM-Richtlinien.

Verschlüsselung gespeicherter Daten

Alle AWS Datenspeicherdienste, wie Amazon Simple Storage Service (Amazon S3) und Amazon Elastic File System (Amazon EFS), bieten Optionen zum Verschlüsseln von Daten im Ruhezustand. Die Verschlüsselung erfolgt mithilfe der 256-Bit-Blockverschlüsselungs- und AWS Kryptografiedienste des Advanced Encryption Standard (AES-256) wie () oder.AWS Key Management ServiceAWS KMSAWS CloudHSM

Sie können Daten mit clientseitiger Verschlüsselung oder serverseitiger Verschlüsselung verschlüsseln, wobei Faktoren wie Datenklassifizierung, Verschlüsselungsbedarf oder technische Einschränkungen, die Sie daran hindern, end-to-end Verschlüsselung zu verwenden, ausschlaggebend sind: end-to-end

  • Clientseitige Verschlüsselung ist der Vorgang, bei dem Daten lokal verschlüsselt werden, bevor die Zielanwendung oder der Service sie empfängt. Der AWS-Service empfängt die verschlüsselten Daten lediglich und spielt keine Rolle bei ihrer Ver- oder Entschlüsselung. Für die clientseitige Verschlüsselung können Sie AWS KMS verwenden, das AWS Encryption SDK, oder andere Verschlüsselungstools oder -services von Drittanbietern.

  • Serverseitige Verschlüsselung ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Service, der sie erhält. Für serverseitige Verschlüsselung können Sie die Verschlüsselung des gesamten AWS KMS Speicherblocks verwenden. Sie können auch andere Verschlüsselungstools oder -services von Drittanbietern verwenden, z. B. LUKS für die Verschlüsselung eines Linux-Dateisystems auf Betriebssystemebene.

Im Folgenden finden Sie allgemeine bewährte Methoden für die Verschlüsselung von Daten im Ruhezustand in AWS Cloud:

  • Definieren Sie eine organisatorische Verschlüsselungsrichtlinie für Daten im Ruhezustand, die auf Ihrer Datenklassifizierung, den organisatorischen Anforderungen und allen geltenden behördlichen oder Compliance-Standards basiert. Weitere Informationen finden Sie unter Erstellen einer unternehmensweiten Verschlüsselungsstrategie für Daten im Ruhezustand. Wir empfehlen dringend, Daten im Ruhezustand als hochvertraulich oder vertraulich eingestufte Daten zu verschlüsseln. Ihre Richtlinie kann bei Bedarf auch die Verschlüsselung für andere Kategorien vorschreiben, z. B. für nicht vertrauliche oder öffentliche Daten.

  • Bei der Verschlüsselung von Daten im Ruhezustand empfehlen wir die Verwendung anerkannter Kryptografiealgorithmen, Blockverschlüsselungsmodi und Schlüssellängen.

  • Erstellen Sie für Ihre Verschlüsselungsschlüssel auf der Grundlage des Prinzips der geringsten Berechtigung.