SEC08-BP02 Menerapkan enkripsi saat istirahat

Anda harus menerapkan penggunaan enkripsi untuk data diam. Enkripsi menjaga kerahasiaan data sensitif jika terjadi akses tidak sah atau pengungkapan yang tidak disengaja.

Hasil yang diinginkan: Data pribadi harus dienkripsi secara default saat diam. Enkripsi membantu menjaga kerahasiaan data dan memberikan lapisan perlindungan tambahan terhadap pengungkapan atau eksfiltrasi data yang disengaja atau pun yang tidak disengaja. Data yang dienkripsi tidak dapat dibaca atau diakses jika Anda tidak membuka enkripsi datanya terlebih dahulu. Setiap data tersimpan yang tidak dienkripsi harus diinventarisasi dan dikontrol.

Anti-pola umum:

• Tidak menggunakan encrypt-by-default konfigurasi.

• Memberikan akses yang terlalu permisif ke kunci dekripsi.

• Tidak memantau penggunaan kunci enkripsi dan dekripsi.

• Menyimpan data tidak terenkripsi.

• Menggunakan kunci enkripsi yang sama untuk semua data tanpa memperhatikan penggunaan, jenis, dan klasifikasi data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Petakan kunci enkripsi ke klasifikasi data di dalam beban kerja Anda. Pendekatan ini membantu melindungi terhadap akses yang terlalu permisif saat menggunakan kunci enkripsi tunggal atau sangat kecil untuk data Anda (lihat SEC07-BP01 Memahami skema klasifikasi data Anda).

AWS Key Management Service (AWS KMS) terintegrasi dengan banyak AWS layanan untuk memudahkan mengenkripsi data Anda saat istirahat. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur enkripsi default pada sebuah bucket agar semua objek baru dienkripsi secara otomatis. Saat menggunakan AWS KMS, pertimbangkan seberapa ketat data perlu dibatasi. AWS KMS Kunci default dan dikontrol layanan dikelola dan digunakan atas nama Anda oleh. AWS Untuk data sensitif yang memerlukan akses halus ke kunci enkripsi yang mendasarinya, pertimbangkan kunci terkelola pelanggan (). CMKs Anda memiliki kendali penuh atasCMKs, termasuk rotasi dan manajemen akses melalui penggunaan kebijakan utama.

Selain itu, Amazon Elastic Compute Cloud (AmazonEC2) dan Amazon S3 mendukung penegakan enkripsi dengan menyetel enkripsi default. Anda dapat menggunakan Aturan AWS Configuntuk memeriksa secara otomatis apakah Anda menggunakan enkripsi, misalnya, untuk volume Amazon Elastic Block Store (AmazonEBS), instans Amazon Relational Database Service (RDSAmazon), dan bucket Amazon S3.

AWS juga menyediakan opsi untuk enkripsi sisi klien, memungkinkan Anda mengenkripsi data sebelum mengunggahnya ke cloud. AWS Encryption SDK Ini menyediakan cara untuk mengenkripsi data Anda menggunakan enkripsi amplop. Anda menyediakan kunci pembungkus, dan AWS Encryption SDK menghasilkan kunci data unik untuk setiap objek data yang dienkripsi. Pertimbangkan AWS CloudHSM apakah Anda memerlukan modul keamanan perangkat keras penyewa tunggal terkelola ()HSM. AWS CloudHSM memungkinkan Anda untuk menghasilkan, mengimpor, dan mengelola kunci kriptografi pada FIPS 140-2 level 3 yang divalidasi. HSM Beberapa kasus penggunaan AWS CloudHSM termasuk melindungi kunci pribadi untuk mengeluarkan otoritas sertifikat (CA), dan mengaktifkan enkripsi data transparan (TDE) untuk database Oracle. AWS CloudHSM Klien SDK menyediakan perangkat lunak yang memungkinkan Anda mengenkripsi sisi klien data menggunakan kunci yang disimpan di dalam AWS CloudHSM sebelum mengunggah data Anda ke dalam. AWS Amazon DynamoDB Encryption Client juga memungkinkan Anda untuk melakukan enkripsi dan penandatanganan terhadap item sebelum diunggah ke tabel DynamoDB.

Langkah-langkah implementasi

• Terapkan enkripsi data diam untuk Amazon S3: Implementasikan enkripsi default bucket Amazon S3.

  Konfigurasikan enkripsi default untuk EBS volume Amazon baru: Tentukan bahwa Anda ingin semua EBS volume Amazon yang baru dibuat dibuat dalam bentuk terenkripsi, dengan opsi untuk menggunakan kunci default yang disediakan oleh AWS atau kunci yang Anda buat.

  Konfigurasikan Gambar Mesin Amazon yang dienkripsi (AMIs): Menyalin yang sudah ada AMI dengan enkripsi yang dikonfigurasi akan secara otomatis mengenkripsi volume root dan snapshot.

  Konfigurasikan RDSenkripsi Amazon: Konfigurasikan enkripsi untuk kluster RDS database Amazon Anda dan snapshot saat istirahat dengan menggunakan opsi enkripsi.

  Buat dan konfigurasikan AWS KMS kunci dengan kebijakan yang membatasi akses ke prinsipal yang sesuai untuk setiap klasifikasi data: Misalnya, buat satu AWS KMS kunci untuk mengenkripsi data produksi dan kunci lain untuk mengenkripsi data pengembangan atau pengujian. Anda juga dapat memberikan akses kunci ke yang lain Akun AWS. Pertimbangkan untuk memiliki akun yang berbeda untuk lingkungan-lingkungan pengembangan dan produksi Anda. Jika lingkungan produksi Anda perlu mendekripsi artefak di akun pengembangan, Anda dapat mengedit CMK kebijakan yang digunakan untuk mengenkripsi artefak pengembangan agar akun produksi dapat mendekripsi artefak tersebut. Dan kemudian lingkungan produksi dapat menyerap data yang didekripsi untuk digunakan dalam lingkungan produksi.

  Konfigurasikan enkripsi di AWS layanan tambahan: Untuk AWS layanan lain yang Anda gunakan, tinjau dokumentasi keamanan untuk layanan tersebut guna menentukan opsi enkripsi layanan.

Sumber daya

Dokumen terkait:

• Alat Kripto AWS

• AWS Encryption SDK

• AWS KMS Whitepaper Detail Kriptografi

• AWS Key Management Service

• Layanan dan alat kriptografi AWS

• EBSEnkripsi Amazon

• Enkripsi default untuk EBS volume Amazon

• Mengenkripsi Sumber Daya Amazon RDS

• Bagaimana cara mengaktifkan enkripsi default untuk bucket Amazon S3?

• Melindungi Data Amazon S3 Menggunakan Enkripsi

Video terkait:

• Bagaimana Enkripsi Bekerja di AWS

• Mengamankan Penyimpanan Blok Anda AWS