SEC08-BP03 將靜態資料保護自動化 - AWS Well-Architected 架構
實作指引資源

SEC08-BP03 將靜態資料保護自動化

使用自動化工具以持續驗證並強制執行靜態資料控制,例如,驗證以確認只有加密的儲存資源。您 可以 使用 AWS Config 規則資料目錄中。AWS Security Hub 也可以透過符合安全標準的自動化檢查來驗證數種不同的控制。此外,您的 AWS Config 規則 可以自動 修復不合規的資源

若未建立此最佳實務,暴露的風險等級為:

實作指引

靜態資料 代表您在工作負載中的任何期間,保留在非揮發性儲存體中的任何資料。其中包括:長期存放資料的區塊儲存體、物件儲存體、資料庫、封存、IoT 裝置和任何其他儲存媒介。實作加密和適當的存取控制,保護靜態資料能將未經授權存取的風險降低。

強制靜態加密:您應該確保存放資料的唯一方法是使用加密。AWS KMS 與許多 AWS 服務無縫整合,讓您更輕鬆地為所有靜態資料加密。例如,在 Amazon Simple Storage Service (Amazon S3) 中,您可以在儲存貯體上設定 預設加密, 以便將所有新物件自動加密。此外,Amazon EC2Amazon S3 透過設定預設加密來支援強制加密。您可以使用 AWS 受管 Config 規則 ,自動檢查您是否正在將加密用於,例如, EBS 磁碟區Amazon Relational Database Service (Amazon RDS) 執行個體Amazon S3 儲存貯體

資源

相關文件:

相關影片: