保护数据的安全控制建议 - AWS 规范性指导
在工作负载级别对数据进行分类为每个数据分类级别建立控制措施加密静态数据对传输中的数据进行加密Amazon EBS 快照的公众访问权限Amazon RDS 快照的公开访问权限公开访问亚马逊 RDS、Amazon Redshift 和资源 AWS DMS 对 S3 存储桶的公开访问权限需要 MFA 才能删除 S3 存储桶数据OpenSearch 中的服务域 VPCsKMS 密钥删除警报对 KMS 密钥的公开访问权限听众使用安全协议

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护数据的安全控制建议

Wel AWS l-Architected Framework 将保护数据的最佳做法分为三类:数据分类、保护静态数据和保护传输中的数据。本节中的安全控制措施可以帮助您实施数据保护的最佳实践。在云中架构任何工作负载之前,都应先采用这些基础最佳实践。它们可以防止数据处理不当,还可以帮助您履行组织、监管和合规义务。使用本节中的安全控制措施来实施数据保护的最佳实践。

在工作负载级别识别和分类数据

数据分类是根据网络中数据的关键性和敏感性对其进行识别和分类的过程。它是所有网络安全风险管理策略的关键组成部分,因为它可以帮助您确定对数据的适当保护和保留控制。数据分类通常会降低数据重复的频率。这可以降低存储和备份成本并加快搜索速度。

我们建议您了解您的工作负载正在处理的数据的类型和分类、相关的业务流程、数据的存储位置以及谁拥有数据。数据分类可帮助工作负载所有者识别存储敏感数据的位置,并确定应如何访问和共享这些数据。标签是键值对,用作组织资源的元数据。 AWS 标签可以帮助管理、识别、组织、搜索和筛选资源。

有关更多信息,请参阅以下资源:

为每个数据分类级别建立控制措施

为每个保密级别定义数据保护控制。例如,使用推荐的控制措施来保护归类为公开的数据,并使用其他控制措施来保护敏感数据。使用可减少或消除直接访问或手动处理数据的需求的机制和工具。数据识别和分类的自动化降低了错误分类、处理不当、修改或人为错误的风险。

例如,可以考虑使用 Amazon Macie 扫描亚马逊简单存储服务 (Amazon S3) 存储桶中是否有敏感数据,例如个人身份信息 (PII)。此外,您还可以使用 Amazon Virtual Private Cloud(亚马逊 VPC)中的 VPC 流日志自动检测意外的数据访问。

有关更多信息,请参阅以下资源:

加密静态数据

态数据是网络中静止的数据,例如存储中的数据。对静态数据实施加密和适当的访问控制有助于降低未经授权访问的风险。加密是一种将人类可读的纯文本数据转换为密文的计算过程。您需要一个加密密钥才能将内容解密回纯文本,以便可以使用。在中 AWS Cloud,您可以使用 AWS Key Management Service (AWS KMS) 来创建和控制有助于保护数据的加密密钥。

如中所述为每个数据分类级别建立控制措施,我们建议创建一个策略来指定需要加密的数据类型。包括如何确定哪些数据应加密以及应使用其他技术(例如标记化或哈希)保护哪些数据的标准。

有关更多信息,请参阅以下资源:

对传输中的数据进行加密

传输中数据是在网络中主动移动的数据,例如在网络资源之间移动的数据。使用安全的 TLS 协议和密码套件对传输中的所有数据进行加密。必须对资源和互联网之间的网络流量进行加密,以帮助防止未经授权访问数据。如果可能,请使用 TLS 对内部 AWS 环境中的网络流量进行加密。

有关更多信息,请参阅以下资源:

阻止公众访问 Amazon EBS 快照

亚马逊弹性区块存储 (Amazon EBS) E lastic Block Store 提供块级存储卷,用于亚马逊弹性计算云 (Amazon) 实例。 EC2您可以通过拍摄 point-in-time快照将 Amazon EBS 卷上的数据备份到 Amazon S3。您可以与其他所有人公开共享快照 AWS 账户,也可以与您指定的个人 AWS 账户 私下共享快照。

我们建议您不要公开共享 Amazon EBS 快照。这可能会无意中暴露敏感数据。当您共享快照时,您即授予其他人访问快照中数据的权限。仅与您信任的拥有所有这些数据的人共享快照。

有关更多信息,请参阅以下资源:

阻止公众访问 Amazon RDS 快照

Amazon Relational Database Service(Amazon RDS)可帮助您在中设置、操作和扩展关系数据库 AWS Cloud。Amazon RDS 会在数据库实例的备份窗口内创建并保存数据库 (DB) 实例或多可用区数据库集群的自动备份。Amazon RDS 创建数据库实例的存储卷快照,并备份整个数据库实例而不仅仅是单个数据库。您可以共享手动快照,以便复制快照或从中恢复数据库实例。

如果您以公开方式共享快照,请确保快照中的所有数据均不为私有或敏感数据。公开共享快照时,它会授予所有访问数据的 AWS 账户 权限。这可能会导致您的 Amazon RDS 实例中的数据意外泄露。

有关更多信息,请参阅以下资源:

阻止公众访问亚马逊 RDS、Amazon Redshift 和资源 AWS DMS

您可以将 Amazon RDS 数据库实例、Amazon Redshift 集群和 AWS Database Migration Service (AWS DMS) 复制实例配置为可公开访问。如果publiclyAccessible字段值为true,则这些资源可以公开访问。允许公共访问可能会导致不必要的流量、泄露或数据泄露。我们建议您不要允许公众访问这些资源。

我们建议您启用 AWS Config 规则或 Security Hub 控件,以检测 Amazon RDS 数据库实例、 AWS DMS 复制实例或 Amazon Redshift 集群是否允许公开访问。

注意

预配置实例后,无法修改 AWS DMS 复制实例的公共访问设置。要更改公共访问设置,请删除当前实例,然后重新创建。重新创建时,请不要选择 “可公开访问” 选项。

有关更多信息,请参阅以下资源:

阻止公众访问 Amazon S3 存储桶

这是一项 Amazon S3 安全最佳实践,可确保您的存储桶不可公开访问。除非您明确要求互联网上的任何人能够读取或写入您的存储桶,否则请确保您的存储桶未公开。这有助于保护数据的完整性和安全性。您可以使用 AWS Config 规则和 Security Hub 控件来确认您的 Amazon S3 存储桶是否符合此最佳实践。

有关更多信息,请参阅以下资源:

要求 MFA 删除关键 Amazon S3 存储桶中的数据

在 Amazon S3 存储桶中使用 S3 版本控制时,您可以选择通过将存储桶配置为启用 MFA(多重身份验证)删除来添加另一层安全保护。执行此操作时,存储桶拥有者必须在任何请求中包含两种形式的身份验证,以删除版本或更改存储桶的版本控制状态。我们建议您为包含对您的组织至关重要的数据的存储桶启用此功能。这样可以防止意外删除存储桶和数据。

有关更多信息,请参阅以下资源:

在 VPC 中配置亚马逊 OpenSearch 服务域

Amazon OpenSearch 服务是一项托管服务,可帮助您部署、运营和扩展 OpenSearch 中的集群 AWS Cloud。亚马逊 OpenSearch 服务支持 OpenSearch 和遗产 Elasticsearch 开源软件 (OSS)。部署在 VPC 内的 Amazon Serv OpenSearch ice 域可以通过私有 AWS 网络与 VPC 资源通信,无需穿越公共互联网。此配置通过限制对传输中数据的访问来改善您的安全状况。我们建议您不要将 Amazon Serv OpenSearch ice 域附加到公有子网,并且应根据最佳实践配置 VPC。

有关更多信息,请参阅以下资源:

配置 AWS KMS key 删除警报

AWS Key Management Service (AWS KMS) 密钥被删除后无法恢复。如果删除 KMS 密钥,则仍使用该密钥加密的数据将永久无法恢复。如果您需要保留对数据的访问权限,则在删除密钥之前,必须解密数据或使用新的 KMS 密钥对其进行重新加密。只有当您确定不再需要使用 KMS 密钥时,才能将其删除。

我们建议您配置 Amazon CloudWatch 警报,以便在有人发起删除 KMS 密钥时通知您。由于删除 KMS 密钥具有破坏性和潜在危险, AWS KMS 因此要求您设置等待期并计划在 7-30 天内删除。这为查看计划删除提供了机会,并在必要时将其取消。

有关更多信息,请参阅以下资源:

阻止公众访问 AWS KMS keys

关键策略是控制访问权限的主要方式 AWS KMS keys。每个 KMS 密钥都有且只有一个密钥策略。允许匿名访问 KMS 密钥可能会导致敏感数据泄露。我们建议您识别任何可公开访问的 KMS 密钥并更新其访问策略,以防止向这些资源发出未签名的请求。

有关更多信息,请参阅以下资源:

将负载均衡器监听器配置为使用安全协议

Elastic Load Balancing 会自动将传入的应用程序流量分配到多个目标。您可通过指定一个或多个侦听器将您的负载均衡器配置为接受传入流量。侦听器是一个使用您配置的协议和端口检查连接请求的进程。每种类型的负载均衡器都支持不同的协议和端口:

我们建议您始终使用 HTTPS 或 TLS 协议。这些协议确保负载均衡器负责加密和解密客户端和目标之间的流量。

有关更多信息,请参阅以下资源: