# 数据保护
**Topics**
+ [SEC 7 如何对数据进行分类?](w2aac19b7c13b5.md)
+ [SEC 8 如何保护静态数据?](w2aac19b7c13b7.md)
+ [SEC 9 如何保护传输中的数据?](w2aac19b7c13b9.md)
# SEC 7 如何对数据进行分类?
分类提供了一种基于关键性和敏感度对数据进行分类的方法,以帮助您确定适当的保护和保留控制措施。
**Topics**
+ [SEC07-BP01 识别工作负载内的数据](sec_data_classification_identify_data.md)
+ [SEC07-BP02 定义数据保护控制措施](sec_data_classification_define_protection.md)
+ [SEC07-BP03 自动识别和分类](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 定义数据生命周期管理](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 识别工作负载内的数据
您需要了解您的工作负载正在处理的数据的类型和分类、相关的业务流程、数据所有者、适用的法律和合规性要求、数据的存储位置以及因此需要实施的控制措施。这可能包括用于指明数据是可公开访问、仅供内部使用(例如客户的个人可识别信息 (PII))还是受到更加严格的访问限制(例如知识产权、法律特权数据或敏感数据等等)的分类。通过谨慎管理适当的数据分级系统以及每个工作负载的保护要求级别,您可以匹配适用于数据的控制和访问或保护级别。例如,公开内容可供任何人访问,而重要内容则以受保护的方式进行加密和存储,需要授权访问密钥才能解密。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 考虑使用 Amazon Macie 发现数据:Macie 可识别敏感数据,例如个人身份信息(PII,Personally Identifiable Information)或知识产权。
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## 资源
**相关文档:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 定义数据保护控制措施
根据数据分类级别保护数据。例如,使用相关建议保护分类为公共的数据,同时使用其他控制措施保护敏感数据。
通过使用资源标签、根据敏感度(可能还包括限制性条款、飞地或感兴趣的社区)划分 AWS 账户、IAM 策略、AWS Organizations SCP、AWS Key Management Service(AWS KMS)和 AWS CloudHSM,您可以定义并实施您的数据分类和加密保护策略。例如,如果您的项目具有包含极关键数据的 S3 存储桶或者处理机密数据的 Amazon Elastic Compute Cloud(Amazon EC2)实例,则可以使用 `Project=ABC` 标签对其进行标记。只有您的直属团队知道项目代码的含义,它提供了一种使用基于属性的访问控制措施的方法。您可以通过关键策略和授权定义对 AWS KMS 加密密钥的访问级别,以确保只有适当的服务可以通过安全机制访问敏感内容。如果您正在根据标签做出授权决定,您应确保在 AWS Organizations 中使用标签策略适当定义对于标签的权限。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
+ 定义您的数据识别和分类架构:对数据执行标识和分类,用于评估您要存储的数据的潜在影响和类型,并确定谁可以访问数据。
+ [AWS 文档](https://docs.aws.amazon.com/)
+ 发现可用的 AWS 控制措施:对于您正在使用或计划使用的 AWS 服务,发现安全控制措施。许多服务在其文档中都会提供一个安全部分。
+ [AWS 文档](https://docs.aws.amazon.com/)
+ 确定 AWS 合规性资源:确定 AWS 为您提供帮助的资源。
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [缺少文本](https://aws.amazon.com/compliance/)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 自动识别和分类
自动识别和分类数据可帮助您实施正确的控制措施。在这方面实现自动化而不是允许人员直接访问,可以降低人为犯错和漏洞的风险。您应使用 [Amazon Macie](https://aws.amazon.com/macie/)等工具执行评估,这些工具使用机器学习来自动发现、分类和保护 Amazon Macie 中的敏感数据。AWS 可以识别个人身份信息(PII,Personally Identifiable Information)或知识产权之类的敏感数据,并为您提供控制面板和警报,让您了解此类数据的访问或移动情况。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 使用 Amazon Simple Storage Service(Amazon S3)清单:Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 考虑使用 Amazon Macie:Amazon Macie 使用机器学习来自动发现存储在 Amazon S3 中的数据,并对其进行分类。
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 资源
**相关文档:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 定义数据生命周期管理
您定义的生命周期策略应基于敏感度级别以及法律和组织要求。应考虑您的数据保留期限、数据销毁流程、数据访问管理、数据转换和数据共享等方面。当选择数据分类方法时,请平衡可用性与访问权限。您还应考虑多种访问级别及其细微差别,以便针对每个级别实施安全且有效的方法。始终采用深度防御方法并减少人工访问数据次数以及数据转换、删除或复制机制。例如,要求用户对应用程序执行严格身份验证,并为应用程序而不是用户授予执行远程操作的必要访问权限。此外,确保用户来自可信网络路径并要求其获取解密密钥。使用控制面板和自动报告等工具为用户提供数据信息,而不是让他们直接访问数据。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 识别数据类型:确定您正在工作负载中存储或处理的数据类型。这些数据可以是文本、图像、二进制数据库等。
## 资源
**相关文档:**
+ [数据分类白皮书](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [开始使用 Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相关视频:**
+ [新 Amazon Macie 简介](https://youtu.be/I-ewoQekdXE)
# SEC 8 如何保护静态数据?
通过实施多个控制措施来保护静态数据,以降低未经授权的访问或处理不当带来的风险。
**Topics**
+ [SEC08-BP01 实施安全密钥管理](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 强制实施静态加密](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 自动执行静态数据保护](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 强制实施访问控制](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 使用机制限制对数据的访问](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 实施安全密钥管理
通过定义加密方法,包括密钥存储、轮换和访问控制,有助于您防止内容被未经授权的用户访问或不必要地暴露给经过授权的用户。AWS Key Management Service(AWS KMS)可以帮助您管理加密密钥,并可 [与许多 AWS 服务集成](https://aws.amazon.com/kms/details/#integration)。该服务可以为 AWS KMS 密钥提供持久、安全和冗余的存储。您可以定义密钥别名以及密钥级策略。这些策略可以帮助您定义关键管理员以及关键用户。此外,AWS CloudHSM(HSM)是一个基于云的硬件安全模块,使您可以在 AWS 云 上轻松生成和使用自己的加密密钥。它使用经 FIPS 140-2 第 3 级验证的 HSM,帮助您满足企业、合同和监管合规性要求,以确保数据安全。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施 AWS KMS:使用 AWS KMS 可以轻松地创建和管理密钥,并控制在各种 AWS 服务和应用程序中使用加密。AWS KMS 是一项安全且具有弹性的服务,使用经过 FIPS 140-2 验证的硬件安全模块来保护您的密钥。
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ 考虑使用 AWS 加密开发工具包:当您的应用程序需要加密客户端数据时,使用包含 AWS KMS 集成的 AWS 加密开发工具包。
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 资源
**相关文档:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 强制实施静态加密
您应确保只以加密的方式存储数据。AWS Key Management Service(AWS KMS)与大量 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [Amazon Elastic Block Store(Amazon EBS)卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、 [Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 对 Amazon Simple Storage Service(Amazon S3)强制实施静态加密:实施 Amazon S3 存储桶默认加密。
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ 使用 AWS Secrets Manager:Secrets Manager 是一项 AWS 服务,让您能够轻松地管理密钥。密钥可以是数据库凭证、密码、第三方 API 密钥甚至任意文本。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 为新的 EBS 卷配置默认加密:指定所有新创建的 EBS 卷要以加密形式创建,并选择使用 AWS 提供的默认密钥或您创建的密钥。
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 配置加密亚马逊云机器镜像(AMI):通过复制启用加密功能的现有 AMI,可自动加密根卷和快照。
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ 配置 Amazon Relational Database Service(Amazon RDS)加密:通过启用加密选项,配置对您的 Amazon RDS 数据库集群和静态快照的加密。
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 在其他 AWS 服务中配置加密:对于您使用的 AWS 服务,请确定加密功能。
+ [AWS 文档](https://docs.aws.amazon.com/)
## 资源
**相关文档:**
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 自动执行静态数据保护
利用自动化工具持续验证和实施静态数据控制措施,例如,确保只存在经过加密的存储资源。您可以 [自动确认所有 EBS 卷都已经过加密,方法是](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。[AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 还可以按照安全标准执行自动化检查,以验证多种不同的控制措施。此外,您的 AWS Config 规则可以自动 [修复不合规的资源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation)。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
*静态数据* 代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时,保护静态数据可以降低未经授权访问的风险。
强制实施静态加密:您应确保只以加密的方式存储数据。AWS KMS 与很多 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS 托管 Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [EBS 卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、[Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
## 资源
**相关文档:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 强制实施访问控制
强制实施包含最低权限和机制的访问控制,包括备份、隔离和版本控制,以帮助保护您的静态数据。防止操作员授予对您的数据的公共访问权限。
各种控制措施,包括访问权限(使用最低权限)、备份(请参阅 [可靠性白皮书](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html))、分离和版本控制,都可以帮助保护您的静态数据。您应使用本白皮书中前面介绍的检测性机制(包括 CloudTrail)和服务级别日志(例如 Amazon Simple Storage Service(Amazon S3)访问日志),审计对您的数据进行的访问。您应清点可公开访问的数据,并计划如何随着时间的推移减少可用的数据量。Amazon Glacier 文件库锁定和 Amazon S3 对象锁定这两项功能可提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。此机制符合 SEC、CFTC 和 FINRA 的图书和记录管理要求。有关更多详细信息,请参阅 [本白皮书](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf)。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 强制实施访问控制:强制实施最低权限访问控制,包括对加密密钥的访问。
+ [管理对 Amazon S3 资源的访问权限简介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ 根据不同分类级别隔离数据:针对 AWS Organizations 管理的数据分类级别使用不同的 AWS 账户。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ 查看 AWS KMS 策略:查看 AWS KMS 策略中授予的访问级别。
+ [管理对 AWS KMS 资源的访问权限概览](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ 查看 Amazon S3 存储桶和对象权限:定期查看 Amazon S3 存储桶策略中授予的访问级别。最佳做法是配置不可公开读取或写入的存储桶。考虑使用 AWS Config 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront:云中的天作之合](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ 启用 Amazon S3 版本控制和对象锁定。
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 对象锁定来锁定对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ 使用 Amazon S3 清单:Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 查看 Amazon EBS 和 AMI 共享权限:共享权限允许将镜像和卷共享到您的工作负载外部的 AWS 账户。
+ [共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [共享 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 使用机制限制对数据的访问
禁止所有用户直接访问正常运行环境中的敏感数据和系统。例如,利用变更管理工作流程,借助工具管理 Amazon Elastic Compute Cloud(Amazon EC2)实例,而不是允许直接访问或通过堡垒主机进行访问。这可以使用 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)来实现,此功能将使用 [包含您的任务执行步骤的](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) 自动化文档。这些文档可以存储在源代码控制中、在运行之前接受对等审核,并接受全面测试以便最大程度降低风险(与 shell 访问相比)。企业用户可以使用一个仪表板而不是通过直接访问数据存储库来执行查询。当未使用 CI/CD 管道时,确定需要利用哪些控制措施和流程来充分提供通常禁用的 Break Glass 访问机制。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施可限制对数据的访问的机制:这些机制包括使用控制面板(例如 Quick),以向用户显示数据,而不是直接查询。
+ [Quick](https://aws.amazon.com/quicksight/)
+ 自动管理配置:远程执行操作,使用配置管理服务或工具自动实施安全配置并对其进行验证。避免使用堡垒主机或直接访问 EC2 实例。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 上适用于 AWS CloudFormation 模板的 CI/CD 管道](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 如何保护传输中的数据?
通过实施多个控制措施来保护传输中的数据,以降低未经授权的访问或数据丢失所带来的风险。
**Topics**
+ [SEC09-BP01 实施安全密钥和证书管理](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 执行传输中加密](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 自动检测意外数据访问](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 对网络通信进行身份验证](sec_protect_data_transit_authentication.md)
# SEC09-BP01 实施安全密钥和证书管理
安全地存储加密密钥和证书,并按照适当的时间间隔和使用严格的访问控制措施来轮换这些密钥和证书。实现这一目的的最佳方法是使用托管服务,例如 [AWS Certificate Manager(ACM)](http://aws.amazon.com/certificate-manager)。它能够让您轻松预置、管理和部署公有和私有传输层安全性 (TLS) 证书,以便与 AWS 服务和您的内部互联资源配合使用。TLS 证书用于保障网络通信的安全性、确立网站在互联网上的身份和资源在私有网络上的身份。ACM 与 Elastic Load Balancer(ELB)、AWS 分配以及 API Gateway 上的 API 等 AWS 资源集成,还负责处理自动证书续订事宜。如果您使用 ACM 来部署私有根 CA,则它可以提供要在 Amazon Elastic Compute Cloud(Amazon EC2)实例、容器等对象中使用的证书和私有密钥。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施安全密钥和证书管理:实施您定义的安全密钥和证书管理解决方案。
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ 如何在 AWS 中托管和管理整个私有证书基础设施 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 实施安全协议:使用传输层安全性协议(TLS,Transport Layer Security)或 IPsec 等支持身份验证和机密性的协议,以便减少数据篡改或丢失的风险。查看 AWS 文档,了解与您正在使用的服务相关的协议和安全性信息。
## 资源
**相关文档:**
+ [AWS 文档 ](https://docs.aws.amazon.com/)
# SEC09-BP02 执行传输中加密
根据相应的标准和建议,实施您定义的加密要求,以帮助您满足组织、法律和合规性要求。AWS 服务提供使用 TLS 的 HTTPS 端点进行通信,从而可以在与 AWS API 通信时提供传输中加密。可以使用安全组在 VPC 中审计和拦截不安全的协议,例如 HTTP。HTTP 请求也可以 [自动重定向到](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) Amazon CloudFront 中的 HTTPS 或 [应用程序负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions)。您可以完全控制计算资源,以便在整个服务中实施加密。您也可以利用 VPN 连接从外部网络连接到您的 VPC 中,以便于对流量进行加密。如果您有特殊要求,可以使用 AWS Marketplace 中提供的第三方解决方案。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施传输中加密:您定义的加密要求应基于最新的标准和最佳实践,且仅允许使用安全协议。例如,仅配置一个安全组,以允许通过 HTTPS 协议访问应用程序负载均衡器或 Amazon Elastic Compute Cloud(Amazon EC2)实例。
+ 在边缘服务中配置安全协议:使用 Amazon CloudFront 和要求的密码来配置 HTTPS。
+ [ 将 HTTPS 与 CloudFront 搭配使用 ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ 将 VPN 用于外部连接:考虑使用 IPsec 虚拟专用网络(VPN)来保护点对点或网络对网络连接,以实现数据隐私性和完整性。
+ [ VPN 连接 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ 在负载均衡器中配置安全协议:使用 HTTPS 侦听器来保护指向负载均衡器的连接。
+ [ 适用于应用程序负载均衡器的 HTTPS 侦听器 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ 为实例配置安全协议:考虑在实例上配置 HTTPS 加密。
+ [ 教程:将 Amazon Linux 2 上的 Apache Web 服务器配置为使用 SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ 在 Amazon Relational Database Service(Amazon RDS)中配置安全协议:使用安全套接字层(SSL,Secure Socket Layer)或传输层安全性协议(TLS,Transport Layer Security)来加密与数据库实例的连接。
+ [ 使用 SSL 加密与数据库实例的连接 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ 在 Amazon Redshift 中配置安全协议:将集群配置为要求安全套接字层(SSL,Secure Socket Layer)或传输层安全性协议(TLS,Transport Layer Security)连接。
+ [ 针对连接配置安全选项 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ 在其他 AWS 服务中配置安全协议:对于您使用的 AWS 服务,请确定传输中加密功能。
## 资源
**相关文档:**
+ [AWS 文档 ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 自动检测意外数据访问
使用 Amazon GuardDuty 等工具自动检测可疑活动或尝试将数据移动到定义的边界之外。例如,GuardDuty 可以通过以下方法,检测异常的 Amazon Simple Storage Service(Amazon S3)读取活动: [Exfiltration:S3/AnomalousBehavior finding](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual)。除了 GuardDuty 以外,还可以将[Amazon VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)(用于捕获网络流量信息)与 Amazon EventBridge 配合使用,以触发对已成功和被拒绝的异常连接的检测。[Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 可以帮助评估您的 Amazon S3 存储桶中的哪些数据可供哪些人访问。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 自动检测意外数据访问:使用工具或检测机制自动检测试图将数据移出定义边界的行为;例如,检测正在将数据复制到无法识别的主机的数据库系统。
+ [ VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ 考虑 Amazon Macie:Amazon Macie 是一项完全托管式数据安全和数据隐私服务,该服务使用机器学习和模式匹配发现和保护 AWS 中的敏感数据。
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 资源
**相关文档:**
+ [ VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 对网络通信进行身份验证
使用传输层安全性 (TLS) 或 IPsec 等支持身份验证的协议来验证通信的身份。
使用支持身份验证的网络协议,可以在双方之间建立信任。此功能将增强协议中使用的加密方法,以降低通信被篡改或拦截的风险。实施身份验证时常用的协议包括(很多 AWS 服务中使用的)传输层安全性(TLS)和( [AWS Virtual Private Network(Site-to-Site VPN)](http://aws.amazon.com/vpn)中使用的)IPsec。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施安全协议:使用 TLS 或 IPsec 等支持身份验证和机密性的安全协议,以便减少数据篡改或丢失的风险。查看 [AWS 文档,](https://docs.aws.amazon.com/) 了解与您正在使用的服务相关的协议和安全性。
## 资源
**相关文档:**
+ [AWS 文档](https://docs.aws.amazon.com/)