在新闻中,最常见的资安事件,就是资料外泄的问题,而通常会发生这类型的事件不外乎就是未将资料或是其他基础设施设定加密。在AWS上面,资料保护主要分为以下三个项目:
资料分类
在进行资料保护及留存时,你应该要依照资料的机密性来做分类,例如:资料是否包含个人讯息(PII)、是否可供大众阅览或是仅限内部使用以及是否含有智慧财产权等,依照不同等级给予不同的资料保护措施。你可以透过下tag、定义IAM Policy、SCP、KMS、Cloud HSM等服务,来进行资料的分级以及保护。
你应该要依照资料的敏感程度、法律及公司规定订定DLM(Data Lifecycle Management),去考虑资料可以留存多久、多久之後要销毁、资料如何存取、是否可对外分享等问题,例如:对於存取较敏感的资料必须要进行身分验证。
静态资料保护
静态资料保护是指你储存在任何地方,在你进行加密或是存取控制时保护你的静态资料,降低未经授权的存取。透过金钥存储、轮换和存去控制在内的加密方法,您可以帮助保护您的内容,防止未经授权的用户和不必要的授权用户暴露,如:透过KMS加密S3里面新建立的物件。
在正常操作情况下,让所有用户远离直接存去敏感资料和系统。 例如,使用变更管理工作流使用工具管理 EC2 实例,而不是允许直接存取或透过Bastion,你可以透过SSM automation来实现自动化管理机制。
资料传输时加密
资料传输时加密指的是从一端传到另一端,包含服务间的传输以及server到用户端的传输。传输中的资料提供适当级别的保护,您可以保护工作负载资料的机密性和完整性。
你应该要安全地储存加密金钥和证书,并在严格的存取控制下以适当的时间间轮换它们。透过AWS Certificate Manager (ACM)来托管证书,让您可以轻松地配置、管理和部署公共和私有传输层安全 (TLS) 证书以用於 AWS 服务和您的内部连接资源。TLS 证书用於保护网路并建立网站的身份以及专用网路上的资源。AWS 服务提供使用 TLS 进行通信的 HTTPS 端点,从而在与 AWS API 通信时提供传输中的加密。 你可以透过像是GuardDuty等侦测服务,来监控可疑的活动,如侦测S3存取、VPC flowlog等。
资料保护的介绍就先到这边,下篇进入相关服务简介
<<: [前端暴龙机,Vue2.x 进化 Vue3 ] Day27. Vue3 ref & reactive 小练习