Lindungi data diam
Data diam merepresentasikan data apa pun yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain yang datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan.
Enkripsi dan tokenisasi adalah dua skema perlindungan data yang berbeda tetapi sama pentingnya.
Tokenisasi adalah proses yang membuat Anda dapat menentukan token untuk merepresentasikan sebuah informasi sensitif (misalnya, token untuk merepresentasikan nomor kartu kredit pelanggan). Token sendiri seharusnya tidak memiliki makna, dan tidak boleh didapatkan dari data yang ditokenisasi–oleh karenanya, digest kriptografis tidak dapat digunakan sebagai token. Dengan merencanakan pendekatan tokenisasi Anda secara saksama, Anda dapat memberikan perlindungan tambahan untuk konten Anda, dan Anda dapat memastikan bahwa Anda memenuhi persyaratan kepatuhan. Sebagai contoh, Anda dapat mempersempit cakupan kepatuhan sistem pemrosesan kartu kredit jika Anda memanfaatkan token, bukan nomor kartu kredit.
Enkripsi adalah cara mentransformasi konten dengan cara yang membuatnya tidak dapat dibaca tanpa menggunakan kunci rahasia yang diperlukan untuk mendekripsi konten agar kembali menjadi plaintext. Baik tokenisasi maupun enkripsi dapat digunakan untuk mengamankan dan melindungi informasi sebagaimana semestinya. Selain itu, masking adalah teknik yang memungkinkan bagian data diredaksi hingga data yang tersisa tidak lagi dianggap sensitif. Misalnya, PCI-DSS memungkinkan empat digit terakhir dari nomor kartu dipertahankan di luar batasan cakupan kepatuhan untuk pembuatan indeks.
Lakukan audit penggunaan kunci enkripsi: Pastikan bahwa Anda memahami dan mengaudit penggunaan kunci enkripsi guna memvalidasi bahwa mekanisme kontrol akses pada kunci diimplementasikan dengan tepat. Sebagai contoh, setiap layanan AWS yang menggunakan kunci AWS KMS mencatat setiap log penggunaan di AWS CloudTrail. Anda selanjutnya dapat membuat kueri AWS CloudTrail, dengan menggunakan alat seperti Wawasan Amazon CloudWatch, guna memastikan bahwa semua penggunaan kunci Anda valid.
Praktik terbaik
