As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas de criptografia para AWS Encryption SDK
O AWS Encryption SDK é uma biblioteca de criptografia do lado do cliente com código aberto. Ele usa os padrões do setor e as melhores práticas para apoiar a implementação e a interoperabilidade em várias linguagens de programação. AWS Encryption SDK criptografa dados usando um algoritmo de chave simétrica seguro, autenticado e oferece uma implementação padrão que segue as melhores práticas de criptografia. Para obter mais informações, consulte Pacotes de algoritmos compatíveis no AWS Encryption SDK.
Um dos principais recursos do AWS Encryption SDK é o suporte à criptografia de dados em uso. Ao adotar uma encrypt-then-use abordagem, você pode criptografar dados confidenciais antes de serem processados pela lógica do aplicativo. Isso pode ajudar a proteger os dados contra possíveis exposições ou adulterações, mesmo que o próprio aplicativo seja afetado por um evento de segurança.
Considere as seguintes práticas recomendadas para esse serviço:
-
Siga todas as recomendações em Práticas recomendadas para o AWS Encryption SDK.
-
Selecione uma ou mais chaves de empacotamento para ajudar a proteger suas chaves de dados. Para obter mais informações, consulte Selecionar chaves de empacotamento.
-
Passe o
KeyIdparâmetro para a ReEncryptoperação para ajudar a evitar o uso de uma chave KMS não confiável. Para obter mais informações, consulte Criptografia aprimorada do lado do cliente: compromisso explícito KeyIds e fundamental(AWS postagem no blog). -
Ao usar o AWS Encryption SDK with AWS KMS, use a
KeyIdfiltragem local. Para obter mais informações, consulte Criptografia aprimorada do lado do cliente: compromisso explícito KeyIds e fundamental(AWS postagem no blog). -
Para aplicativos com grandes volumes de tráfego que exigem criptografia ou descriptografia, ou se sua conta estiver excedendo as cotas de AWS KMS solicitação, você pode usar o recurso de armazenamento em cache da chave de dados do. AWS Encryption SDK Observe as seguintes práticas recomendadas para o armazenamento em cache de chaves de dados:
-
Configure limites de segurança de cache para limitar duração do uso de cada chave de dados e quantos dados são protegidos em cada chave de dados. Para obter recomendações ao configurar esses limites, consulte Definir limites de segurança de cache.
-
Limite o cache local ao menor número de chaves de dados necessárias para obter melhorias de performance para seu caso de uso específico de aplicação. Para obter instruções e um exemplo de configuração de limites para o cache local, consulte Usando o cache de chaves de dados:. Step-by-step
Para obter mais informações, consulte AWS Encryption SDK: Como decidir se o armazenamento em cache de chaves de dados é adequado para seu aplicativo
(postagem AWS no blog). -
