本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 一般加密最佳实践
本节提供了在中加密数据时适用的建议。 AWS 云这些一般加密最佳做法并非特定于 AWS 服务。本节包括以下主题:
+ [数据分类](#data-classification)
+ [传输中数据加密](#encryption-of-data-in-transit)
+ [静态数据加密](#encryption-of-data-at-rest)
## 数据分类
*数据分类*是根据网络中数据的关键性和敏感性对其进行识别和分类的过程。它是任何网络安全风险管理策略的关键组成部分,因为它可以帮助您确定对数据的适当保护和保留控制。[数据分类是 Wel](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/data-classification.html) l-Architecte AWS d Framework 中安全支柱的一个组成部分。类别可能包括*高度机密*、*机密*、*非机密*和*公开*,但是分类层及其名称可能因组织而异。有关数据分类过程、注意事项和模型的更多信息,请参阅[数据分类](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html)(AWS 白皮书)。
对数据进行分类后,您可以根据每个类别所需的保护级别为组织创建加密策略。例如,您的组织可能决定高度机密的数据应使用非对称加密,而公共数据不需要加密。有关设计加密策略的更多信息,请参阅 [Creating an enterprise encryption strategy for data at rest](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)。尽管该指南中的技术注意事项和建议特定于静态数据,但您也可以使用分阶段方法为传输中数据创建加密策略。
## 传输中数据加密
通过 AWS 全球网络之间 AWS 区域 传输的所有数据在离开 AWS 安全设施之前,都会 AWS 在物理层自动加密。 AWS 加密可用区之间的所有流量。
对于流经您的工作负载的数据,以下是对传输中的数据进行加密时的一般最佳实践: AWS 云
+ 根据您的数据分类、组织要求以及任何适用的监管或合规标准,为传输中数据定义组织加密策略。我们强烈建议您对归类为高度机密或机密的传输中数据进行加密。您的策略还可能根据需要指定其他类别的加密,例如,非机密或公共数据。
+ 对传输中数据进行加密时,我们建议使用批准的加密算法、数据块密码模式和密钥长度,如加密策略中定义。我们还建议定期查看与您的应用程序负载均衡器、Amazon API Gateway 资源、亚马逊资源和亚马逊 CloudFront 虚拟私有云 (Amazon VPC) 资源相关的 TLS 策略,以确保它们与您当前的加密策略保持一致。
+ 使用以下方法之一对企业网络和 AWS 云 基础架构内的信息资产和系统之间的流量进行加密:
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 连接
+ AWS Site-to-Site VPN 和[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)连接的组合,提供 IPsec加密的私有连接
+ Direct Connect 支持 MAC Security (MACsec) 的连接,用于加密从公司网络到该 Direct Connect 地点的数据
+ 根据最小权限原则确定托管证书和 TLS 策略配置的访问控制策略。*最低权限*是授予用户执行其工作职能所需的最低访问权限的安全最佳实践。有关应用最低权限的更多信息,请参阅 [Security best practices in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 和 [Best practices for IAM policies](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html)。
## 静态数据加密
所有 AWS 数据存储服务,例如亚马逊简单存储服务 (Amazon S3) 和亚马逊弹性文件系统 (Amazon EFS),都提供加密静态数据的选项。[使用 256 位高级加密标准 (AES-256) 分组 AWS 密码和加密服务(例如 () 或)执行加密。AWS Key Management ServiceAWS KMS[AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
您可以根据数据分类、加密需求或阻止您使用加密的技术限制等因素,使用 end-to-end客户端 end-to-end加密或服务器端加密来加密数据:
+ *客户端加密*是在目标应用程序或服务接收数据之前对数据进行本地加密的行为。 AWS 服务 接收加密数据,但不会影响对其加密或解密。对于客户端加密,您可以使用 AWS KMS、[AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 或其他第三方加密工具或服务。
+ *服务器端加密*是由接收数据的应用程序或服务在目标位置对数据进行加密的行为。对于服务器端加密,您可以使用 AWS KMS 对整个存储块进行加密。您还可以使用其他第三方加密工具或服务,如 [LUKS](https://gitlab.com/cryptsetup/cryptsetup/),在操作系统(OS)级别对 Linux 文件系统进行加密。
以下是对 AWS 云中静态数据进行加密的一般最佳实践:
+ 根据您的数据分类、组织要求以及任何适用的监管或合规标准,为静态数据定义组织加密策略。有关详细信息,请参阅[Creating an enterprise encryption strategy for data at rest](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)。我们强烈建议您对归类为高度机密或机密的静态数据进行加密。您的策略还可能根据需要指定其他类别的加密,例如,非机密或公共数据。
+ 对静态数据进行加密时,我们建议使用批准的加密算法、数据块密码模式和密钥长度。
+ 根据最低权限原则确定加密密钥的访问控制策略。