为静态数据创建企业加密策略

Amazon Web Services 的 Venki Srivatsav、Andrea Di Fabio 和 Vikramaditya Bhatnagar (AWS)

2022 年 9 月（文件历史记录）

许多企业担心数据泄露的网络安全威胁。发生数据泄露时，未经授权的人会访问您的网络并窃取企业数据。防火墙和反恶意软件服务可以帮助抵御这种威胁。您可以实现的另一种保护是数据加密。在本指南的 “关于数据加密” 部分中，您可以详细了解数据加密的工作原理和可用类型。

一般来说，当你讨论加密时，有两种类型的数据。传输中的数据是指在网络中主动传输的数据，例如在网络资源之间。静态数据是静止和休眠的数据，例如存储中的数据。该策略侧重于静态数据。有关加密传输中的数据的更多信息，请参阅保护传输中的数据（Well-AWS Architected 框架）。

加密策略由四个部分组成，您按顺序开发这些部分。加密策略由高级管理层确定，概述了加密的法规、合规性和业务要求。加密标准可帮助实施该政策的人员理解并遵守该政策。标准可以是技术性的，也可以是程序性的。该框架是支持标准实施的标准操作程序、结构和护栏。最后，架构是加密标准的技术实现，例如您使用的环境、服务和工具。本文档的目标是帮助您创建适合您的业务、安全性和合规性需求的加密策略。它包括有关如何审查和实施静态数据安全标准的建议，以便您可以全面满足合规性和业务需求。

此策略使用AWS Key Management Service (AWS KMS) 来帮助您创建和管理有助于保护数据的加密密钥。 AWS KMS集成了许多AWS服务，可以加密所有静态数据。即使您选择了其他加密服务，您仍然可以采用本指南中的建议和阶段。

目标受众

该策略旨在面向以下受众：

• 为企业制定政策的执行官员，例如首席执行官、首席技术官 (CTO)、首席信息官 (CIO) 和首席信息安全官 (CISO)

• 负责制定技术标准的技术官员，例如技术副总裁和总监

• 合规和治理官员，负责监督合规政策的遵守情况，包括法定和自愿合规制度

有针对性的业务成果

• Data-at-rest 加密策略 — 决策者和政策制定者可以创建加密策略并了解影响策略的关键因素。

• Data-at-rest 加密标准 — 技术主管可以开发基于加密策略的加密标准。

• 加密框架 — 技术领导者和实施者可以创建一个框架，作为政策制定者和标准制定者之间的桥梁。在这种情况下，框架意味着确定适当的流程和工作流程，以帮助您在政策的范围内实施标准。框架类似于用于更改政策或标准的标准操作程序或变更管理流程。

• 技术架构和实现 — 开发人员和架构师等亲身实践的实施者知道可以帮助他们实施加密策略的可用架构参考资料。

限制

本文档旨在帮助您制定最适合企业需求的自定义加密策略。它本身不是加密策略，也不是合规清单。本文档不包括以下主题：

• 传输中传输加密

• 令牌化

• 哈希

• 合规性和数据治理

• 为您的加密程序编列预算

有关某些主题的更多信息，请参阅小资源节。