SEC08-BP03 自动执行静态数据保护

利用自动化工具持续验证和实施静态数据控制措施，例如，确保只存在经过加密的存储资源。您可以自动确认所有 EBS 卷都已经过加密，方法是使用 AWS Config 规则。AWS Security Hub 还可以按照安全标准执行自动化检查，以验证多种不同的控制措施。此外，您的 AWS Config 规则可以自动修复不合规的资源。

未建立此最佳实践暴露的风险等级： 中

实施指导

静态数据 代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时，保护静态数据可以降低未经授权访问的风险。

强制实施静态加密：您应确保只以加密的方式存储数据。AWS KMS 与很多 AWS 服务无缝集成，使您能够更轻松地加密所有静态数据。例如，在 Amazon Simple Storage Service（Amazon S3）中，您可以对存储桶设置默认加密，以自动加密所有的新对象。此外，Amazon EC2 和 Amazon S3 支持通过设置默认加密来强制加密。您可以使用 AWS 托管 Config 规则自动检查您已使用了加密，例如针对 EBS 卷、Amazon Relational Database Service（Amazon RDS）实例和 Amazon S3 存储桶。

资源

相关文档：

相关视频：

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

SEC08-BP02 强制实施静态加密

SEC08-BP04 强制实施访问控制