# 資料保護
**Topics**
+ [SEC 7 您如何分類資料?](w2aac19b7c13b5.md)
+ [SEC 8 您如何保護靜態資料?](w2aac19b7c13b7.md)
+ [SEC 9 您如何保護傳輸中資料?](w2aac19b7c13b9.md)
# SEC 7 您如何分類資料?
資料分類可讓您根據關鍵性和敏感度將資料分類,協助判定適當的保護和保留控制。
**Topics**
+ [SEC07-BP01 識別工作負載內的資料](sec_data_classification_identify_data.md)
+ [SEC07-BP02 定義資料保護控制](sec_data_classification_define_protection.md)
+ [SEC07-BP03 自動識別和分類](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 定義資料生命週期管理](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 識別工作負載內的資料
您需要了解工作負載所處理的資料類型和類別、相關的商業程序、資料擁有者、適用的法律和合規要求、存放的位置,以及因而需要強制執行的控制項。這可能包括分類以指出資料是否打算供公開取得;資料是否僅供內部使用,例如客戶的個人識別資訊 (PII);資料是否用於更受限制的存取,例如智慧財產、依法特權或標示為敏感資料等等。透過仔細管理適當的資料分類系統,並搭配每個工作負載的保護等級要求,您可以規劃適合資料的控制項和存取或保護等級。例如,公開的內容可供任何人存取,然而重要內容則以受保護的方式進行加密和儲存,需要授權取得金鑰才能將內容解密。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 考慮使用 Amazon Macie 探索資料:Macie 可辨識個人識別資訊 (PII) 或智慧財產等敏感資料。
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## 資源
**相關文件:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 定義資料保護控制
根據資料的分類層級保護資料。例如:使用相關建議來保護歸類為公有的資料,同時實作額外的控制以保護敏感資料。
使用資源標籤、根據敏感度 (也可能適用於警告、群體或關注的社群)、IAM 政策、AWS Organizations SCP、AWS Key Management Service (AWS KMS) 和 AWS CloudHSM 將 AWS 帳戶做出區隔,您可以定義和實作資料分類和加密保護的政策。例如,假設您有一個專案用到存放高度關鍵資料的 S3 儲存貯體,或處理機密資料的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,則可以使用 `Project=ABC` 標籤進行標記。只有您的直屬團隊知道專案代號的意義,同時也可作為使用屬性型存取控制的方式。您可以透過金鑰政策和授權,定義對 AWS KMS 加密金鑰的存取等級,以確保僅限相應的服務能透過安全機制存取敏感內容。如果要根據標籤做出授權決策,您應該確保在 AWS Organizations 中使用標籤政策,正確地定義標籤上的許可。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 定義您的資料識別和分類結構描述:對資料進行識別和分類,評估您儲存的資料的潛在影響和類型,以及誰可以存取它。
+ [AWS 文件](https://docs.aws.amazon.com/)
+ 探索可用的 AWS 控制:針對您目前正在使用或計劃使用的 AWS 服務探索安全控制。許多服務在其文件中皆有安全性區段。
+ [AWS 文件](https://docs.aws.amazon.com/)
+ 識別 AWS 合規資源:識別 AWS 可用於協助的資源。
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 資源
**相關文件:**
+ [AWS 文件](https://docs.aws.amazon.com/)
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [缺少文字](https://aws.amazon.com/compliance/)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 自動識別和分類
將資料的識別和分類自動化,可協助您實作正確的控制方法。針對此目的使用自動化而非由人員直接存取,可降低人為錯誤和外洩的風險。您應該使用 [Amazon Macie](https://aws.amazon.com/macie/)這類工具進行評估,該工具會使用機器學習自動探索、分類和保護 AWS 中的敏感資料。Amazon Macie 可辨識個人識別資訊 (PII) 或智慧財產權等敏感資料,並提供儀表板和提醒,讓您深入了解資料的存取或移動方式。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 使用 Amazon Simple Storage Service (Amazon S3) 庫存:Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的其中一項工具。
+ [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 考慮 Amazon Macie:Amazon Macie 使用機器學習來自動發現和分類存放在 Amazon S3 中的資料。
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 資源
**相關文件:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 定義資料生命週期管理
您已定義的生命週期策略應以敏感性等級以及法律和組織的要求作為依據。您應考慮保留資料的期間、資料銷毀程序、資料存取管理、資料轉換和資料共享等方面。在選擇資料分類方法時,應在使用性與存取之間取得平衡。也應採納存取權的多個等級,並且耐心依照各等級分別實作安全又兼顧使用方便的方法。一律使用深度防禦方法,並減少為了轉換、刪除或複製資料,對資料與機制的手動存取。例如,要求使用者對應用程式進行強式驗證,並給予應用程式 (而非使用者) 必要的存取許可,以執行遠距離動作。此外,確保使用者來自受信任的網路路徑,並要求存取解密金鑰。應使用儀表板或自動報告之類的工具為使用者提供來自資料的資訊,而不是讓使用者直接存取資料。
**若未建立此最佳實務,暴露的風險等級:** 低
## 實作指引
+ 識別資料類型:識別您在工作負載中存放或處理的資料類型。該資料可以是文字、影像、二進位資料庫等。
## 資源
**相關文件:**
+ [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**相關影片:**
+ [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 您如何保護靜態資料?
實作多個控制來保護您的靜態資料,以降低未經授權的存取或不當處理的風險。
**Topics**
+ [SEC08-BP01 實作安全金鑰管理](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 強制靜態加密](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 將靜態資料保護自動化](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 強制執行存取控制](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 使用限制人員存取資料的機制](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 實作安全金鑰管理
透過定義加密方法 (包含金鑰的儲存、輪換和存取控制),可以協助保護您的內容,免於未經授權的使用者和不必要的向授權使用者透露。AWS Key Management Service (AWS KMS) 可協助您管理加密金鑰, [並與許多 AWS 服務整合](https://aws.amazon.com/kms/details/#integration)。此服務為您的 AWS KMS 金鑰提供耐用、安全和冗餘的儲存。您可以定義金鑰別名以及金鑰層級的政策。這些政策可幫助您定義金鑰管理員和金鑰使用者。此外,AWS CloudHSM 是雲端硬體安全模組 (HSM),讓您能夠在 AWS 雲端上輕鬆產生和使用自己的加密金鑰。透過使用 FIPS 140-2 3 級驗證的 HSM,它可以幫助您滿足公司、合同和法規對資料安全的合規要求。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 實作 AWS KMS:AWS KMS 可讓您輕鬆建立和管理金鑰,並控制多種 AWS 服務和應用程式中的加密使用。AWS KMS 是一種安全且具彈性的服務,使用經過 FIPS 140-2 驗證的硬體安全模組來保護您的金鑰。
+ [入門:AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ 考慮 AWS 加密開發套件:當您的應用程式需要在用戶端對資料進行加密時,可使用整合 AWS KMS 的 AWS 加密開發套件。
+ [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## 資源
**相關文件:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS 加密服務和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [入門:AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [使用加密保護 Amazon S3 資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 強制靜態加密
您應該確保存放資料的唯一方法是使用加密。AWS Key Management Service (AWS KMS) 與許多 AWS 服務無縫整合,讓您更輕鬆地為所有靜態資料加密。例如,在 Amazon Simple Storage Service (Amazon S3) 中,您可以在儲存貯體上設定 [預設加密,](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) 以便將所有新物件自動加密。此外,[Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 透過設定預設加密來支援強制加密。您可以使用 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) ,自動檢查您是否正在將加密用於,例如, [Amazon Elastic Block Store (Amazon EBS) 磁碟區](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [Amazon Relational Database Service (Amazon RDS) 執行個體](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 儲存貯體](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 強制對 Amazon Simple Storage Service (Amazon S3) 執行靜態加密:實作 Amazon S3 儲存貯體預設加密。
+ [如何針對 S3 儲存貯體啟用預設加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ 使用 AWS Secrets Manager:Secrets Manager 是一項 AWS 服務,可讓您更輕鬆地管理機密。機密可以是資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 設定新 EBS 磁碟區的預設加密:使用 AWS 提供的預設金鑰或您自行建立的金鑰,指定您希望以加密形式建立所有新的 EBS 磁碟區。
+ [EBS 磁碟區的預設加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 設定加密的 Amazon Machine Images (AMI):複製已啟用加密的現有 AMI 會自動加密根磁碟區和快照。
+ [帶有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ 設定 Amazon Relational Database Service (Amazon RDS):透過啟用加密選項,為您的 Amazon RDS 資料庫叢集和靜態快照設定啟用加密。
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 在其他 AWS 服務中設定加密:對於您使用的 AWS 服務,請決定加密功能。
+ [AWS 文件](https://docs.aws.amazon.com/)
## 資源
**相關文件:**
+ [帶有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文件](https://docs.aws.amazon.com/)
+ [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 加密服務和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 磁碟區的預設加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何針對 S3 儲存貯體啟用預設加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [使用加密保護 Amazon S3 資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 將靜態資料保護自動化
使用自動化工具以持續驗證並強制執行靜態資料控制,例如,驗證以確認只有加密的儲存資源。您 [可以](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) 使用 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)資料目錄中。[AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) 也可以透過符合安全標準的自動化檢查來驗證數種不同的控制。此外,您的 AWS Config 規則 可以自動 [修復不合規的資源](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation)。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
*靜態資料* 代表您在工作負載中的任何期間,保留在非揮發性儲存體中的任何資料。其中包括:長期存放資料的區塊儲存體、物件儲存體、資料庫、封存、IoT 裝置和任何其他儲存媒介。實作加密和適當的存取控制,保護靜態資料能將未經授權存取的風險降低。
強制靜態加密:您應該確保存放資料的唯一方法是使用加密。AWS KMS 與許多 AWS 服務無縫整合,讓您更輕鬆地為所有靜態資料加密。例如,在 Amazon Simple Storage Service (Amazon S3) 中,您可以在儲存貯體上設定 [預設加密,](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) 以便將所有新物件自動加密。此外,[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) 和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 透過設定預設加密來支援強制加密。您可以使用 [AWS 受管 Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) ,自動檢查您是否正在將加密用於,例如, [EBS 磁碟區](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html),[Amazon Relational Database Service (Amazon RDS) 執行個體](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 儲存貯體](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
## 資源
**相關文件:**
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 強制執行存取控制
強制執行最低權限存取控制和機制 (包括備份、隔離和版本控制),以保護靜態資料。防止操作員授予您資料的公有存取權。
不同的控制包括存取 (使用最低權限)、備份 (請參閱 [可靠性白皮書](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html))、隔離,以及和版本控制,全都有助於保護您的靜態資料。對資料的存取應使用本白皮書稍早涵蓋的偵測機制進行稽核,包括 CloudTrail 和服務層級日誌 (例如 Amazon Simple Storage Service (Amazon S3) 存取日誌)。您應該清查哪些資料可公開存取,並規劃如何隨著時間減少可用的資料量。Amazon Glacier 文件庫鎖定和 Amazon S3 物件鎖定提供強制存取控制的功能,一旦文件庫政策被合規選項鎖定,在鎖定過期之前,就連根使用者也無法變更。此機制符合 SEC、CFTC 和 FINRA 的書籍和記錄管理要求。如需詳細資訊,請參閱 [此白皮書](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf)。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 強制執行存取控制:強制執行最低權限存取控制,包括對加密金鑰的存取。
+ [管理對 Amazon S3 資源的存取許可的簡介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ 根據不同的分類層級分離資料:針對由 AWS Organizations 管理的資料分類層級,使用不同的 AWS 帳戶。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ 審查 AWS KMS 政策:審查 AWS KMS 政策中授予的存取層級。
+ [管理對您的 AWS KMS 資源的存取概觀](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ 審查 Amazon S3 儲存貯體和物件權限:定期審查 Amazon S3 儲存貯體政策中授予的存取層級。最佳實務是不要設定公開可讀取或可寫入的儲存貯體。考慮使用 AWS Config 偵測公開可用的儲存貯體,以及使用 Amazon CloudFront 從 Amazon S3 提供內容。
+ [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront:雲端中進行的比對](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ 啟用 Amazon S3 版本控制和物件鎖定。
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 物件鎖定來鎖定物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ 使用 Amazon S3 庫存:Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的其中一項工具。
+ [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ 審查 Amazon EBS 和 AMI 共用許可:共用許可可以允許將映像和磁碟區分享到工作負載外部的 AWS 帳戶。
+ [共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [分享 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## 資源
**相關文件:**
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相關影片:**
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 使用限制人員存取資料的機制
在正常運作情況下,讓所有使用者遠離直接存取敏感資料和系統的權限。例如,使用變更管理工作流程來使用工具管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,而不允許直接存取或堡壘主機存取。這可使用 [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)來達成,其使用 [自動化文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) ,內有您用來執行任務的步驟。這些文件可以存放在原始檔控制中、在執行前接受對等審查,並經過徹底測試,以盡量降低與 shell 存取相比的風險。商業使用者可以擁有儀表板,而不是直接存取資料存放區來執行查詢。未使用 CI/CD 管道時,請判斷需要哪些控制和程序,才能充分提供一般停用時的緊急存取機制。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 實作限制人員存取資料的機制:這些機制包括使用 Quick 等儀表板向使用者顯示資料,而不是直接查詢。
+ [Quick](https://aws.amazon.com/quicksight/)
+ 自動化組態管理:透過使用組態管理服務或工具,在遠距離執行動作,並自動執行和驗證安全組態。避免使用堡壘主機或直接存取 EC2 執行個體。
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS 上 AWS CloudFormation 範本的 CI/CD 管道](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## 資源
**相關文件:**
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**相關影片:**
+ [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM)
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 您如何保護傳輸中資料?
實作多個控制以保護傳輸中的資料,減少未經授權的存取或遺失的風險。
**Topics**
+ [SEC09-BP01 實作安全金鑰和憑證管理](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 強制執行傳輸中加密](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 自動偵測意外的資料存取](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 驗證網路通訊](sec_protect_data_transit_authentication.md)
# SEC09-BP01 實作安全金鑰和憑證管理
安全地存放加密金鑰和憑證,並依適當的時間間隔,以嚴格的存取控制進行輪換。達成此目標的最佳方式是使用受管服務,例如 [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager)。它可讓您輕鬆佈建、管理和部署可與 AWS 服務和您的內部連線資源搭配使用的公有和私有 Transport Layer Security (TLS) 憑證。TLS 憑證可用來保護網路通訊,和建立網際網路中的網站和私有網路中資源的身份。ACM 與 AWS 資源整合,例如 Elastic Load Balancer (ELB)、AWS 分發以及 API Gateway 上的 API,也會處理自動憑證更新。如果您使用 ACM 部署私有根 CA,則它可以提供憑證和私有金鑰兩者,用於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器內等。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 實作安全金鑰和憑證管理:實作您定義的安全金鑰和憑證管理解決方案。
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ 如何在 AWS 中託管和管理整個私有憑證基礎架構 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 實作安全協定:使用提供身份驗證和機密性的安全協定 (例如 Transport Layer Security (TLS) 或 IPsec) 來減少資料竄改或遺失的風險。請查看 AWS 文件,了解與您使用的服務相關的協定和安全性。
## 資源
**相關文件:**
+ [AWS 文件 ](https://docs.aws.amazon.com/)
# SEC09-BP02 強制執行傳輸中加密
根據適當的標準和建議強制執行已定義的加密要求,協助您符合組織、法律和合規上的要求。AWS 服務提供使用 TLS 進行通訊的 HTTPS 端點,從而在與 API 通訊時提供傳輸中加密。不安全的通訊協定 (例如 HTTP) 可以在 VPC 中透過使用安全群組加以稽核和封鎖。HTTP 請求也可以 [自動重新導向至 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) 在 Amazon CloudFront 或 [Application Load Balancer 中](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions)。您可以完全控制您的運算資源,以在各個服務中實作傳輸中加密。此外,還可以從外部網路使用 VPN 連線功能進入 VPC,實現流量加密。如果您有特殊需求,AWS Marketplace 備有第三方解決方案。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 強制執行傳輸中加密:您定義的加密要求應符合最新標準和最佳實務,並僅允許採用安全協定。例如,將安全群組設定為僅允許 HTTPS 協定到 Application Load Balancer 或 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
+ 在邊緣服務中設定安全協定:使用 Amazon CloudFront 和必要的加密法設定 HTTPS。
+ [ 搭配 CloudFront 使用 HTTPS ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ 使用 VPN 進行外部連線:考慮使用 IPsec VPN 虛擬私有網路 (VPN),保護點對點或網路對網路連線,以提供資料隱私和完整性。
+ [ VPN 連線 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ 在負載平衡器中設定安全協定:啟用 HTTPS 接聽程式以保護與負載平衡器的連線。
+ [ Application Load Balancer 的 HTTPS 接聽程式 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ 為執行個體設定安全協定:考慮在執行個體上設定 HTTPS 加密。
+ [ 教學:在 Amazon Linux 2 上設定 Apache Web 伺服器以使用 SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ 在 Amazon Relational Database Service (Amazon RDS) 中設定安全協定:使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 來加密與資料庫執行個體的連線。
+ [ 使用 SSL 加密與資料庫執行個體的連線 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ 在 Amazon Redshift 中設定安全協定:將您的叢集設定為要求 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 連線。
+ [ 設定連線的安全性選項 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ 在其他 AWS 服務中設定安全協定:對於您使用的 AWS 服務,請決定傳輸中加密功能。
## 資源
**相關文件:**
+ [AWS 文件 ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 自動偵測意外的資料存取
使用 Amazon GuardDuty 這類工具,自動偵測可疑活動或將資料移到所定義邊界之外的嘗試。例如,GuardDuty 可以偵測異常的 Amazon Simple Storage Service (Amazon S3) 讀取活動,發現結果為 [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual)。除了 GuardDuty,[擷取網路流量資訊的 Amazon VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)還可與 Amazon EventBridge 搭配使用,以觸發異常連線偵測,其中成功和拒絕兩者皆包含在內。[Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 可協助評估您的 Amazon S3 儲存貯體中誰可以存取哪些資料。
**若未建立此最佳實務,暴露的風險等級:** 中
## 實作指引
+ 自動偵測意外的資料存取:使用工具或偵測機制自動偵測將資料移出定義邊界的嘗試;例如,偵測將資料複製到無法識別之主機的資料庫系統。
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ 考慮 Amazon Macie:Amazon Macie 是一項全受管的資料安全和資料隱私服務,它使用機器學習和模式比對來探索和保護 AWS 中的敏感資料。
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 資源
**相關文件:**
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 驗證網路通訊
使用支援身份驗證的通訊協定 (Transport Layer Security (TLS) 或 IPsec) 來驗證通訊的身分。
使用支援身份驗證的網路通訊協定,可讓雙方之間建立信任。此法可增加通訊協定中使用的加密,降低通訊遭到更改或攔截的風險。實作身份驗證的常見通訊協定包括許多 AWS 服務中使用的 Transport Layer Security (TLS),以及在 [AWS Virtual Private Network (Site-to-Site VPN) 中使用的 IPsec](http://aws.amazon.com/vpn)。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 實作安全協定:使用提供身份驗證和機密性的安全協定 (例如 T TLS 或 IPsec) 來減少資料竄改或遺失的風險。請參閱 [AWS 文件](https://docs.aws.amazon.com/) ,了解與您使用的服務相關的協定和安全性。
## 資源
**相關文件:**
+ [AWS 文件](https://docs.aws.amazon.com/)