SEC08-BP02 Menerapkan enkripsi data diam

Anda harus menerapkan penggunaan enkripsi untuk data diam. Enkripsi menjaga kerahasiaan data sensitif jika terjadi akses tidak sah atau pengungkapan yang tidak disengaja.

Hasil yang diinginkan: Data pribadi harus dienkripsi secara default saat diam. Enkripsi membantu menjaga kerahasiaan data dan memberikan lapisan perlindungan tambahan terhadap pengungkapan atau eksfiltrasi data yang disengaja atau tidak disengaja. Data yang dienkripsi tidak dapat dibaca atau diakses tanpa membuka enkripsi data terlebih dahulu. Semua data tersimpan yang tidak dienkripsi harus diinventarisasi dan dikontrol.

Antipola umum:

Tidak menggunakan konfigurasi enkripsikan secara default.
Memberikan akses yang terlalu permisif ke kunci dekripsi.
Tidak memantau penggunaan kunci enkripsi dan dekripsi.
Menyimpan data tidak terenkripsi.
Menggunakan kunci enkripsi yang sama untuk semua data tanpa memperhatikan penggunaan, jenis, dan klasifikasi data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Petakan kunci enkripsi ke klasifikasi data dalam beban kerja Anda. Pendekatan ini membantu melindungi dari akses yang terlalu permisif saat menggunakan kunci enkripsi tunggal atau yang sangat kecil untuk data Anda (lihat SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda).

AWS Key Management Service (AWS KMS) terintegrasi dengan berbagai layanan AWS untuk mempermudah enkripsi data diam. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur enkripsi default pada bucket agar semua objek baru dienkripsi secara otomatis. Saat menggunakan AWS KMS, pertimbangkan seberapa ketat pembatasan data yang perlu dilakukan. Kunci AWS KMS default dan yang dikontrol layanan dikelola dan digunakan atas nama Anda oleh AWS. Untuk data sensitif yang memerlukan akses terperinci ke kunci enkripsi yang mendasarinya, pertimbangkan kunci yang dikelola pelanggan (CMK). Anda memiliki kontrol penuh atas CMK, termasuk rotasi dan manajemen akses melalui penggunaan kebijakan kunci.

Selain itu, Amazon Elastic Compute Cloud (Amazon EC2) dan Amazon S3 mendukung penerapan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan Aturan AWS Config untuk memeriksa secara otomatis apakah Anda sedang menggunakan enkripsi. Misalnya, untuk volume Amazon Elastic Block Store (Amazon EBS), instans Amazon Relational Database Service (Amazon RDS), dan bucket Amazon S3.

AWS juga menyediakan opsi untuk enkripsi sisi klien, sehingga Anda dapat mengenkripsi data sebelum mengunggahnya ke cloud. AWS Encryption SDK menyediakan cara untuk mengenkripsi data Anda menggunakan enkripsi amplop. Anda memberikan kunci pembungkus, dan AWS Encryption SDK menghasilkan kunci data unik untuk setiap objek data yang dienkripsi. Pertimbangkan AWS CloudHSM jika Anda memerlukan modul keamanan perangkat keras (HSM) penyewa tunggal terkelola. AWS CloudHSM memungkinkan Anda membuat, mengimpor, dan mengelola kunci kriptografi pada HSM tervalidasi FIPS 140-2 level 3. Beberapa kasus penggunaan AWS CloudHSM termasuk melindungi kunci pribadi untuk menerbitkan otoritas sertifikat (CA), dan mengaktifkan enkripsi data transparan (TDE) untuk basis data Oracle. SDK Klien AWS CloudHSM menyediakan perangkat lunak yang dapat Anda gunakan untuk mengenkripsi data sisi klien menggunakan kunci yang disimpan di dalam AWS CloudHSM sebelum mengunggah data Anda ke AWS. Amazon DynamoDB Encryption Client juga mendukung enkripsi dan penandatanganan item sebelum diunggah ke tabel DynamoDB.

Langkah implementasi

Terapkan enkripsi data diam untuk Amazon S3: Implementasikan enkripsi default bucket Amazon S3.

Konfigurasikan enkripsi default untuk volume Amazon EBS baru: Tentukan bahwa Anda ingin membuat semua volume Amazon EBS baru dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat.

Konfigurasikan Amazon Machine Image (AMI) terenkripsi: Menyalin AMI yang ada dengan enkripsi aktif akan mengenkripsi volume root dan snapshot secara otomatis.

Konfigurasikan enkripsi Amazon RDS: Konfigurasikan enkripsi untuk klaster dan snapshot basis data Amazon RDS Anda saat diam menggunakan opsi enkripsi.

Buat dan konfigurasikan kunci AWS KMS dengan kebijakan yang membatasi akses ke pengguna utama yang sesuai untuk setiap klasifikasi data: Misalnya, buat satu kunci AWS KMS untuk mengenkripsi data produksi dan satu kunci untuk mengenkripsi data pengembangan atau pengujian. Anda juga dapat menyediakan kunci akses ke Akun AWS lainnya. Pertimbangkan untuk memiliki akun yang berbeda untuk lingkungan pengembangan dan produksi Anda. Jika lingkungan produksi Anda perlu mendekripsi artefak di akun pengembangan, Anda dapat mengedit kebijakan CMK yang digunakan untuk mengenkripsi artefak pengembangan agar akun produksi dapat mendekripsi artefak tersebut. Kemudian lingkungan produksi dapat menyerap data yang didekripsi untuk digunakan dalam produksi.

Konfigurasikan enkripsi di layanan AWS tambahan: Untuk layanan AWS lain yang Anda gunakan, lihat dokumentasi keamanan untuk layanan terkait guna menentukan opsi enkripsi untuk layanan tersebut.

Sumber daya

Dokumen terkait:

Video terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC08-BP01 Implementasikan manajemen kunci yang aman

SEC08-BP03 Mengotomatiskan perlindungan data diam