REL09-BP02 保護和加密備份

使用身分驗證和授權控制並偵測對備份的存取。使用加密來防止並檢測是否危及備份的資料完整性。

常見的反模式：

• 讓備份和還原自動化的存取權與資料的存取權相同。

• 不加密您的備份。

建立此最佳實務的優勢：保護您的備份可防止資料遭到竄改，加密資料可防止意外暴露時存取該資料。

未建立此最佳實務時的曝險等級：高

實作指引

使用身分驗證和授權控制並偵測對備份的存取，例如 AWS Identity and Access Management (IAM)。使用加密來防止並檢測是否危及備份的資料完整性。

Amazon S3 支援多種靜態資料的加密方法。使用伺服器端加密時，Amazon S3 會以未加密資料的形式接受物件，然後在儲存這些物件之前將其加密。使用用戶端加密時，您的工作負載應用程式需負責加密資料，然後將資料傳送至 Amazon S3。這兩種方法都可讓您使用 AWS Key Management Service (AWS KMS) 來建立和存放資料金鑰，或者您也可以提供自己的金鑰，之後由您對其負責。使用 AWS KMS 時，您可以透過 IAM 設定政策，設定誰可以和誰無法存取您的資料金鑰和解密資料。

對於 Amazon RDS，如果您已選擇加密資料庫，則備份也會加密。DynamoDB 備份一律會加密。使用 AWS Elastic Disaster Recovery 時，所有傳輸中的資料和靜態資料都會加密。使用 Elastic Disaster Recovery，靜態資料可以使用預設 Amazon EBS 加密磁碟區加密金鑰或自訂客戶受管金鑰進行加密。

實作步驟

1. 在每個資料存放區使用加密。如果來源資料已加密，則備份也會加密。

   • 在 Amazon RDS 中使用加密。您可以在建立 RDS 執行個體時，使用 AWS Key Management Service 設定靜態加密。

   • 在 Amazon EBS 磁碟區中使用加密。您可以在建立磁碟區時設定預設加密或指定唯一金鑰。

   • 使用必要的 Amazon DynamoDB 加密。DynamoDB 會加密所有靜態資料。您可以使用 AWS 自有的 AWS KMS 金鑰或 AWS 受管 KMS 金鑰，指定帳戶中儲存的金鑰。

   • 加密存放在 Amazon EFS 中的資料。在建立檔案系統時設定加密。

   • 在來源和目的地區域設定加密。您可以使用 KMS 中存放的金鑰來設定 Amazon S3 中的靜態加密，但金鑰是區域限定的。您可以在設定複寫時指定目的地金鑰。

   • 選擇使用預設還是自訂 Amazon EBS 加密進行彈性災難復原。此選項會在模擬區域子網路磁碟和複寫磁碟上加密您的複寫靜態資料。

2. 實作存取備份的最低權限。遵循最佳實務，以根據安全最佳實務限制對備份、快照和複本的存取。

資源

相關文件：

• AWS Marketplace：可用於備份的產品

• Amazon EBS 加密

• Amazon S3：使用加密保護資料

• CRR 其餘組態：複寫使用 AWS KMS 中儲存的加密金鑰，透過伺服器端加密 (SSE) 所建立的物件

• DynamoDB 靜態加密

• 加密 Amazon RDS 資源

• 在 Amazon EFS 中加密資料和中繼資料

• AWS 中的備份加密

• 管理加密資料表

• 安全支柱 – AWS Well Architected Framework

• 什麼是 AWS Elastic Disaster Recovery？

相關範例：

• Well-Architected 實驗室：針對 Amazon S3 實作雙向跨區域複寫 (CRR)