SEC08-BP03 Mengotomatiskan perlindungan data diam

Gunakan alat otomatis untuk memvalidasi dan menegakkan kontrol data diam secara terus menerus, misalnya, memastikan bahwa hanya ada sumber daya penyimpanan terenkripsi. Anda bisa mengotomatiskan validasi bahwa semua volume EBS telah dienkripsi menggunakan Aturan AWS Config. AWS Security Hub juga dapat memverifikasi beberapa kontrol yang berbeda melalui pemeriksaan otomatis berdasarkan standar keamanan. Selain itu, Aturan AWS Config Anda secara otomatis bisa memperbaiki sumber daya yang tidak patuh.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Data diam mewakili data yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain di mana datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan.

Terapkan enkripsi data diam: Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS KMS terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3) Anda bisa mengatur enkripsi default pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, Amazon EC2 dan Amazon S3 mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan AWS Managed Config Rules untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk volume EBS, instans Amazon Relational Database Service (Amazon RDS), dan bucket Amazon S3.

Sumber daya

Dokumen terkait:

Video terkait: