# SEC 8 如何保护静态数据?
通过实施多个控制措施来保护静态数据,以降低未经授权的访问或处理不当带来的风险。
**Topics**
+ [SEC08-BP01 实施安全密钥管理](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 强制实施静态加密](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 自动执行静态数据保护](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 强制实施访问控制](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 使用机制限制对数据的访问](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 实施安全密钥管理
通过定义加密方法,包括密钥存储、轮换和访问控制,有助于您防止内容被未经授权的用户访问或不必要地暴露给经过授权的用户。AWS Key Management Service(AWS KMS)可以帮助您管理加密密钥,并可 [与许多 AWS 服务集成](https://aws.amazon.com/kms/details/#integration)。该服务可以为 AWS KMS 密钥提供持久、安全和冗余的存储。您可以定义密钥别名以及密钥级策略。这些策略可以帮助您定义关键管理员以及关键用户。此外,AWS CloudHSM(HSM)是一个基于云的硬件安全模块,使您可以在 AWS 云 上轻松生成和使用自己的加密密钥。它使用经 FIPS 140-2 第 3 级验证的 HSM,帮助您满足企业、合同和监管合规性要求,以确保数据安全。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 实施 AWS KMS:使用 AWS KMS 可以轻松地创建和管理密钥,并控制在各种 AWS 服务和应用程序中使用加密。AWS KMS 是一项安全且具有弹性的服务,使用经过 FIPS 140-2 验证的硬件安全模块来保护您的密钥。
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ 考虑使用 AWS 加密开发工具包:当您的应用程序需要加密客户端数据时,使用包含 AWS KMS 集成的 AWS 加密开发工具包。
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 资源
**相关文档:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [开始使用:AWS Key Management Service(AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 强制实施静态加密
您应确保只以加密的方式存储数据。AWS Key Management Service(AWS KMS)与大量 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [Amazon Elastic Block Store(Amazon EBS)卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、 [Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 对 Amazon Simple Storage Service(Amazon S3)强制实施静态加密:实施 Amazon S3 存储桶默认加密。
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ 使用 AWS Secrets Manager:Secrets Manager 是一项 AWS 服务,让您能够轻松地管理密钥。密钥可以是数据库凭证、密码、第三方 API 密钥甚至任意文本。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 为新的 EBS 卷配置默认加密:指定所有新创建的 EBS 卷要以加密形式创建,并选择使用 AWS 提供的默认密钥或您创建的密钥。
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 配置加密亚马逊云机器镜像(AMI):通过复制启用加密功能的现有 AMI,可自动加密根卷和快照。
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ 配置 Amazon Relational Database Service(Amazon RDS)加密:通过启用加密选项,配置对您的 Amazon RDS 数据库集群和静态快照的加密。
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 在其他 AWS 服务中配置加密:对于您使用的 AWS 服务,请确定加密功能。
+ [AWS 文档](https://docs.aws.amazon.com/)
## 资源
**相关文档:**
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 自动执行静态数据保护
利用自动化工具持续验证和实施静态数据控制措施,例如,确保只存在经过加密的存储资源。您可以 [自动确认所有 EBS 卷都已经过加密,方法是](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。[AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 还可以按照安全标准执行自动化检查,以验证多种不同的控制措施。此外,您的 AWS Config 规则可以自动 [修复不合规的资源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation)。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
*静态数据* 代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时,保护静态数据可以降低未经授权访问的风险。
强制实施静态加密:您应确保只以加密的方式存储数据。AWS KMS 与很多 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS 托管 Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [EBS 卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、[Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
## 资源
**相关文档:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 强制实施访问控制
强制实施包含最低权限和机制的访问控制,包括备份、隔离和版本控制,以帮助保护您的静态数据。防止操作员授予对您的数据的公共访问权限。
各种控制措施,包括访问权限(使用最低权限)、备份(请参阅 [可靠性白皮书](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html))、分离和版本控制,都可以帮助保护您的静态数据。您应使用本白皮书中前面介绍的检测性机制(包括 CloudTrail)和服务级别日志(例如 Amazon Simple Storage Service(Amazon S3)访问日志),审计对您的数据进行的访问。您应清点可公开访问的数据,并计划如何随着时间的推移减少可用的数据量。Amazon Glacier 文件库锁定和 Amazon S3 对象锁定这两项功能可提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。此机制符合 SEC、CFTC 和 FINRA 的图书和记录管理要求。有关更多详细信息,请参阅 [本白皮书](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf)。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 强制实施访问控制:强制实施最低权限访问控制,包括对加密密钥的访问。
+ [管理对 Amazon S3 资源的访问权限简介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ 根据不同分类级别隔离数据:针对 AWS Organizations 管理的数据分类级别使用不同的 AWS 账户。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ 查看 AWS KMS 策略:查看 AWS KMS 策略中授予的访问级别。
+ [管理对 AWS KMS 资源的访问权限概览](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ 查看 Amazon S3 存储桶和对象权限:定期查看 Amazon S3 存储桶策略中授予的访问级别。最佳做法是配置不可公开读取或写入的存储桶。考虑使用 AWS Config 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront:云中的天作之合](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ 启用 Amazon S3 版本控制和对象锁定。
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 对象锁定来锁定对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ 使用 Amazon S3 清单:Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
+ [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 查看 Amazon EBS 和 AMI 共享权限:共享权限允许将镜像和卷共享到您的工作负载外部的 AWS 账户。
+ [共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [共享 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 使用机制限制对数据的访问
禁止所有用户直接访问正常运行环境中的敏感数据和系统。例如,利用变更管理工作流程,借助工具管理 Amazon Elastic Compute Cloud(Amazon EC2)实例,而不是允许直接访问或通过堡垒主机进行访问。这可以使用 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)来实现,此功能将使用 [包含您的任务执行步骤的](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) 自动化文档。这些文档可以存储在源代码控制中、在运行之前接受对等审核,并接受全面测试以便最大程度降低风险(与 shell 访问相比)。企业用户可以使用一个仪表板而不是通过直接访问数据存储库来执行查询。当未使用 CI/CD 管道时,确定需要利用哪些控制措施和流程来充分提供通常禁用的 Break Glass 访问机制。
**未建立这种最佳实践的情况下暴露的风险等级:** 低
## 实施指导
+ 实施可限制对数据的访问的机制:这些机制包括使用控制面板(例如 Quick),以向用户显示数据,而不是直接查询。
+ [Quick](https://aws.amazon.com/quicksight/)
+ 自动管理配置:远程执行操作,使用配置管理服务或工具自动实施安全配置并对其进行验证。避免使用堡垒主机或直接访问 EC2 实例。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 上适用于 AWS CloudFormation 模板的 CI/CD 管道](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 资源
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)