Langkah 5. Enkripsi data cadangan dan brankas - AWS Panduan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 5. Enkripsi data cadangan dan brankas

Organizations semakin perlu meningkatkan strategi keamanan data mereka, dan mereka mungkin diminta untuk memenuhi peraturan perlindungan data saat mereka menskalakan di cloud. Implementasi metode enkripsi yang benar dapat memberikan lapisan perlindungan tambahan di atas mekanisme kontrol akses dasar. Lapisan tambahan ini memberikan mitigasi jika kebijakan kontrol akses utama Anda gagal.

Misalnya, jika Anda mengonfigurasi kebijakan kontrol akses yang terlalu permisif pada AWS Backup data Anda, sistem atau proses manajemen kunci Anda dapat mengurangi dampak maksimum dari peristiwa keamanan. Ini karena ada mekanisme otorisasi terpisah untuk mengakses data dan kunci enkripsi Anda, yang berarti bahwa data cadangan hanya dapat dilihat sebagai teks sandi.

Untuk mendapatkan hasil maksimal dari AWS Cloud enkripsi, enkripsi data baik dalam perjalanan maupun saat istirahat. Untuk melindungi data dalam perjalanan, AWS gunakan panggilan API yang dipublikasikan untuk mengakses AWS Backup melalui jaringan menggunakan protokol TLS untuk menyediakan enkripsi antara Anda, aplikasi Anda, dan AWS Backup layanan. Untuk melindungi data saat istirahat, Anda dapat menggunakan AWS cloud-native AWS Key Management Service(AWS KMS) atau. AWS CloudHSM Model keamanan perangkat keras berbasis cloud (HSM), AWS CloudHSM menggunakan Advanced Encryption Standard (AES) dengan kunci 256-bit (AES-256), algoritma yang diadopsi industri yang kuat untuk mengenkripsi data. Evaluasi tata kelola data dan persyaratan peraturan Anda, dan pilih layanan enkripsi yang sesuai untuk mengenkripsi data cloud dan brankas cadangan Anda.

Konfigurasi enkripsi berbeda tergantung pada jenis sumber daya dan operasi cadangan di seluruh akun atau Wilayah. Jenis sumber daya tertentu mendukung kemampuan untuk mengenkripsi cadangan Anda menggunakan kunci enkripsi terpisah dari kunci yang digunakan untuk mengenkripsi sumber daya sumber. Karena Anda bertanggung jawab untuk mengelola kontrol akses untuk menentukan siapa yang dapat mengakses AWS Backup data atau kunci enkripsi vault Anda dan dalam kondisi apa, gunakan bahasa kebijakan yang ditawarkan oleh AWS KMS untuk menentukan kontrol akses pada kunci. Anda juga dapat menggunakan AWS Backup Audit Manager untuk mengonfirmasi bahwa cadangan Anda dienkripsi dengan benar. Untuk informasi selengkapnya, lihat Enkripsi untuk cadangan di. AWS Backup

Anda dapat menggunakan tombol AWS KMSMulti-region untuk mereplikasi kunci dari satu Wilayah ke Wilayah lainnya. Kunci Multi-Region dirancang untuk menyederhanakan manajemen enkripsi ketika data terenkripsi Anda harus disalin ke Wilayah lain untuk pemulihan bencana. Evaluasi kebutuhan untuk menerapkan AWS KMS kunci Multi-region sebagai bagian dari strategi pencadangan Anda secara keseluruhan.