AWS 服務 的加密最佳實務和功能

Kurt Kumar，Amazon Web Services (AWS)

2022 年 12 月 (文件歷史記錄)

現代網路安全威脅包括資料外洩風險，即授權人員存取您的網路並竊取您的企業資料。資料是每個組織獨有的商業資產。它可以包括客戶資訊、業務計畫、設計文件或程式碼。保護企業意味著保護資料。

防火牆等措施可以協助防止發生資料外洩。但是，即使在發生外洩之後，資料加密也可以協助保護您的業務資料。它提供了另一層防禦措施，以防止意外洩露。若要存取 AWS 雲端 中的加密資料，使用者需要使用金鑰進行解密的許可，並且需要使用資料所在服務的許可。如果沒有這兩個許可，使用者將無法解密和檢視資料。

通常，您可以加密兩種類型的資料。傳輸中的資料是在您的網路中主動移動的資料，例如在網路資源之間移動。靜態資料是靜止且處於休眠狀態的資料，例如儲存中的資料。範例包括區塊儲存、物件儲存、資料庫、存檔和物聯網 (IoT) 裝置。本指南討論加密這兩種類型的資料的考量事項和最佳實務。還回顧許多 AWS 服務 中可用的加密功能和控制，以便您可以在 AWS 雲端 環境中的服務水準實作這些加密建議。

目標對象

本指南可供公共和私營部門的小型、中型和大型組織使用。無論您的組織處於評估和實作資料保護策略的初始階段，還是旨在增強現有安全控制，本指南中概述的建議最適合下列受眾：

• 為企業制定政策的執行官，例如執行長 (CEO)、技術長 (CTO)、資訊長 (CIO) 和資訊安全長 (CISO)

• 負責制定技術標準的技術官，例如技術副總裁和總監

• 負責下列事項的企業利害關係人和應用程式擁有者：

  • 評估風險狀態、資料分類和保護需求

  • 監控既定組織標準的合規情況

• 合規、內部稽核和治理官，負責監控合規政策的遵守情況，包括法定和自願合規管轄範圍