Praktik terbaik enkripsi umum - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik enkripsi umum

Bagian ini memberikan rekomendasi yang berlaku saat mengenkripsi data di. AWS Cloud Praktik terbaik enkripsi umum ini tidak spesifik untukLayanan AWS. Bagian ini mencakup topik-topik berikut:

Klasifikasi data

Klasifikasi data adalah proses untuk mengidentifikasi dan mengkategorikan data dalam jaringan Anda berdasarkan kekritisan dan sensitivitasnya. Ini adalah komponen penting dari setiap strategi manajemen risiko keamanan siber karena membantu Anda menentukan perlindungan dan kontrol retensi yang tepat untuk data. Klasifikasi data adalah komponen pilar keamanan dalam AWS Well-Architected Framework. Kategori mungkin termasuk sangat rahasia, rahasia, tidak rahasia, dan publik, tetapi tingkat klasifikasi dan nama mereka dapat bervariasi dari satu organisasi ke organisasi lainnya. Untuk informasi lebih lanjut tentang proses klasifikasi data, pertimbangan, dan model, lihat Klasifikasi data (AWSWhitepaper).

Setelah mengklasifikasikan data Anda, Anda dapat membuat strategi enkripsi untuk organisasi Anda berdasarkan tingkat perlindungan yang diperlukan untuk setiap kategori. Misalnya, organisasi Anda mungkin memutuskan bahwa data yang sangat rahasia harus menggunakan enkripsi asimetris dan bahwa data publik tidak memerlukan enkripsi. Untuk informasi selengkapnya tentang merancang strategi enkripsi, lihat Membuat strategi enkripsi perusahaan untuk data saat istirahat. Meskipun pertimbangan teknis dan rekomendasi dalam panduan itu khusus untuk data saat istirahat, Anda dapat menggunakan pendekatan bertahap untuk membuat strategi enkripsi untuk data dalam perjalanan juga.

Mengenkripsi data saat transit

Semua data yang dikirimkan Wilayah AWS melalui jaringan AWS global secara otomatis dienkripsi pada lapisan fisik sebelum meninggalkan fasilitas yang AWS aman. Semua lalu lintas antara Availability Zones dienkripsi.

Berikut ini adalah praktik terbaik umum saat mengenkripsi data dalam perjalanan di: AWS Cloud

  • Tentukan kebijakan enkripsi organisasi untuk data dalam perjalanan, berdasarkan klasifikasi data Anda, persyaratan organisasi, dan standar peraturan atau kepatuhan yang berlaku. Kami sangat menyarankan agar Anda mengenkripsi data dalam perjalanan yang diklasifikasikan sebagai sangat rahasia atau rahasia. Kebijakan Anda mungkin juga menentukan enkripsi untuk kategori lain, seperti data non-rahasia atau publik, sesuai kebutuhan.

  • Saat mengenkripsi data dalam perjalanan, sebaiknya gunakan algoritme kriptografi yang disetujui, mode sandi blok, dan panjang kunci, sebagaimana didefinisikan dalam kebijakan enkripsi Anda.

  • Enkripsi lalu lintas antara aset informasi dan sistem dalam jaringan perusahaan dan AWS Cloud infrastruktur dengan menggunakan salah satu dari berikut ini:

    • Koneksi AWS Site-to-Site VPN

    • Kombinasi AWS Site-to-Site VPN dan AWS Direct Connectkoneksi, yang menyediakan koneksi pribadi terenkripsi IPsec

    • AWS Direct Connectkoneksi yang mendukung MAC Security (MacSec) untuk mengenkripsi data dari jaringan perusahaan ke lokasi Amazon VPC

  • Identifikasi kebijakan kontrol akses untuk kunci enkripsi Anda berdasarkan prinsip hak istimewa paling sedikit. Keistimewaan paling sedikit adalah praktik keamanan terbaik untuk memberikan pengguna akses minimum yang mereka butuhkan untuk menjalankan fungsi pekerjaan mereka. Untuk informasi selengkapnya tentang penerapan izin hak istimewa terkecil, lihat Praktik terbaik keamanan di IAM dan Praktik terbaik untuk kebijakan IAM.

Enkripsi data saat tidak digunakan

Semua layanan penyimpanan AWS data, seperti Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) dan Amazon Elastic File System (Amazon EFS), menyediakan opsi untuk mengenkripsi data saat istirahat. Enkripsi dilakukan dengan menggunakan 256-bit Advanced Encryption Standard (AES-256) blok cipher dan layanan AWS kriptografi, seperti () atau. AWS Key Management ServiceAWS KMSAWS CloudHSM

Anda dapat mengenkripsi data menggunakan enkripsi sisi klien atau enkripsi sisi server, berdasarkan faktor-faktor seperti klasifikasi data, kebutuhan end-to-end enkripsi, atau batasan teknis yang mencegah Anda menggunakan enkripsi: end-to-end

  • Enkripsi sisi klien adalah tindakan mengenkripsi data secara lokal sebelum aplikasi atau layanan target menerimanya. Layanan AWSMenerima data terenkripsi; itu tidak memainkan peran dalam mengenkripsi atau mendekripsi itu. Untuk enkripsi sisi klien, Anda dapat menggunakanAWS KMS, atau alat atau layanan enkripsi pihak ketiga lainnya. AWS Encryption SDK

  • Enkripsi sisi server adalah tindakan mengenkripsi data di tujuannya, oleh aplikasi atau layanan yang menerimanya. Untuk enkripsi sisi server, Anda dapat menggunakan AWS KMS enkripsi seluruh blok penyimpanan. Anda juga dapat menggunakan alat atau layanan enkripsi pihak ketiga lainnya, seperti LUKS untuk mengenkripsi sistem file Linux di tingkat sistem operasi (OS).

Berikut ini adalah praktik terbaik umum saat mengenkripsi data saat istirahat di: AWS Cloud

  • Tentukan kebijakan enkripsi organisasi untuk data saat istirahat, berdasarkan klasifikasi data Anda, persyaratan organisasi, dan standar peraturan atau kepatuhan yang berlaku. Untuk informasi selengkapnya, lihat Membuat strategi enkripsi perusahaan untuk data saat istirahat. Kami sangat menyarankan agar Anda mengenkripsi data saat istirahat yang diklasifikasikan sebagai sangat rahasia atau rahasia. Kebijakan Anda mungkin juga menentukan enkripsi untuk kategori lain, seperti data non-rahasia atau publik, sesuai kebutuhan.

  • Saat mengenkripsi data saat istirahat, sebaiknya gunakan algoritma kriptografi yang disetujui, mode sandi blok, dan panjang kunci.

  • Identifikasi kebijakan kontrol akses untuk kunci enkripsi Anda berdasarkan prinsip hak istimewa paling sedikit.