Fase 5. Crittografia dei dati di backup e del vault - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 5. Crittografia dei dati di backup e del vault

Le organizzazioni hanno sempre più bisogno di migliorare la propria strategia di sicurezza dei dati e potrebbe essere richiesto loro di rispettare le normative sulla protezione dei dati man mano che si ridimensionano nel cloud. La corretta implementazione dei metodi di crittografia possono offrire un ulteriore livello di protezione rispetto ai meccanismi di controllo degli accessi di base. Questo livello aggiunto consente la mitigazione in caso di fallimento delle policy di controllo dell'accesso principali.

Ad esempio, se configuri policy di controllo dell'accesso eccessivamente permissive sui tuoi dati di AWS Backup , il sistema o il processo di gestione delle chiavi possono mitigare l'impatto massimo di un evento di sicurezza. Questo perché esistono meccanismi di autorizzazione separati per accedere ai dati e alla chiave di crittografia, il che significa che i dati di backup sono visualizzabili solo come testo cifrato.

Per ottenere il massimo dalla Cloud AWS crittografia, crittografa i dati sia in transito che a riposo. Per proteggere i dati in transito, AWS utilizza chiamate API pubblicate per accedere AWS Backup attraverso la rete utilizzando il protocollo TLS per fornire la crittografia tra l'utente, l'applicazione e il AWS Backup servizio. Per proteggere i dati inattivi, puoi utilizzare AWS cloud-native AWS Key Management Service()AWS KMS o. AWS CloudHSM Un modello di sicurezza hardware (HSM) basato sul cloud, AWS CloudHSM utilizza Advanced Encryption Standard (AES) con chiavi a 256 bit (AES-256), un potente algoritmo adottato dal settore per la crittografia dei dati. Valuta i requisiti normativi e di governance dei dati e seleziona il servizio di crittografia appropriato per crittografare i dati cloud e gli archivi di backup.

La configurazione della crittografia varia a seconda del tipo di risorsa e delle operazioni di backup tra account o regioni. Alcuni tipi di risorse supportano la possibilità di crittografare i backup con una chiave di crittografia separata da quella usata per crittografare la risorsa di origine. Poiché sei responsabile della gestione dei controlli di accesso per determinare chi può accedere ai tuoi AWS Backup dati o alle chiavi di crittografia del vault e a quali condizioni, utilizza il linguaggio delle policy offerto da AWS KMS per definire i controlli di accesso sulle chiavi. Puoi anche utilizzare AWS Backup Audit Manager per confermare che il backup sia crittografato correttamente. Per ulteriori informazioni, consulta la sezione Crittografia dei backup in AWS Backup.

Puoi utilizzare le chiavi multi-regione di AWS KMS per replicare le chiavi da una regione all'altra. Le chiavi multi-regione sono progettate per semplificare la gestione della crittografia quando i dati crittografati devono essere copiati in altre regioni per il ripristino di emergenza. Valuta la necessità di implementare AWS KMS chiavi multiregionali come parte della tua strategia di backup complessiva.