Etapa 5. Criptografar os dados de backup e o cofre - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 5. Criptografar os dados de backup e o cofre

Cada vez mais as organizações precisam melhorar sua estratégia de segurança de dados, e talvez precisem atender a regulamentações de proteção de dados à medida que se expandem na nuvem. A implementação correta de métodos de criptografia pode fornecer uma camada adicional de proteção acima dos mecanismos básicos de controle de acesso. Essa camada adicional proporcionará uma mitigação se suas políticas primárias de controle de acesso falharem.

Por exemplo, se você configurar políticas de controle de acesso excessivamente permissivas em seus dados do AWS Backup , seu sistema ou processo de gerenciamento de chaves podem minimizar parte do impacto de um evento de segurança. Isso ocorre porque há mecanismos de autorização separados para acessar seus dados e a chave de criptografia, o que significa que os dados de backup podem ser visualizados somente como texto cifrado.

Para aproveitar ao máximo a Nuvem AWS criptografia, criptografe dados em trânsito e em repouso. Para proteger os dados em trânsito, AWS usa chamadas de API publicadas para acessar AWS Backup pela rede usando o protocolo TLS para fornecer criptografia entre você, seu aplicativo e o AWS Backup serviço. Para proteger os dados em repouso, você pode usar o AWS cloud-native AWS Key Management Service(AWS KMS) ou. AWS CloudHSM Um modelo de segurança de hardware (HSM) baseado em nuvem, o AWS CloudHSM usa o Advanced Encryption Standard (AES) com chaves de 256 bits (AES-256), um algoritmo robusto adotado pelo setor para criptografar dados. Avalie seus requisitos regulatórios e de governança de dados e selecione o serviço de criptografia apropriado para criptografar seus dados na nuvem e os cofres de backup.

A configuração da criptografia difere dependendo do tipo de recurso e das operações de backup entre contas ou regiões. Certos tipos de recursos são compatíveis com a capacidade de criptografar seus backups usando uma chave de criptografia diferente da chave usada para criptografar o recurso de origem. Como você é responsável por gerenciar os controles de acesso para determinar quem pode acessar seus AWS Backup dados ou as chaves de criptografia do cofre e sob quais condições, use a linguagem de política oferecida por AWS KMS para definir controles de acesso nas chaves. Você também pode usar o AWS Backup Audit Manager para confirmar se o backup está criptografado corretamente. Para obter mais informações, consulte Criptografia para backups no AWS Backup.

É possível usar chaves multirregião do AWS KMS para replicar chaves de uma região para outra. As chaves multirregião foram projetadas para simplificar o gerenciamento da criptografia quando seus dados criptografados precisam ser copiados para outras regiões para recuperação de desastres. Avalie a necessidade de implementar AWS KMS chaves multirregionais como parte de sua estratégia geral de backup.