# SEC 9  您如何保護傳輸中資料？
<a name="w2aac19b7c13b9"></a>

實作多個控制以保護傳輸中的資料，減少未經授權的存取或遺失的風險。

**Topics**
+ [SEC09-BP01 實作安全金鑰和憑證管理](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 強制執行傳輸中加密](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 自動偵測意外的資料存取](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 驗證網路通訊](sec_protect_data_transit_authentication.md)

# SEC09-BP01 實作安全金鑰和憑證管理
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 安全地存放加密金鑰和憑證，並依適當的時間間隔，以嚴格的存取控制進行輪換。達成此目標的最佳方式是使用受管服務，例如 [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager)。它可讓您輕鬆佈建、管理和部署可與 AWS 服務和您的內部連線資源搭配使用的公有和私有 Transport Layer Security (TLS) 憑證。TLS 憑證可用來保護網路通訊，和建立網際網路中的網站和私有網路中資源的身份。ACM 與 AWS 資源整合，例如 Elastic Load Balancer (ELB)、AWS 分發以及 API Gateway 上的 API，也會處理自動憑證更新。如果您使用 ACM 部署私有根 CA，則它可以提供憑證和私有金鑰兩者，用於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器內等。 

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  實作安全金鑰和憑證管理：實作您定義的安全金鑰和憑證管理解決方案。 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ 如何在 AWS 中託管和管理整個私有憑證基礎架構 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  實作安全協定：使用提供身份驗證和機密性的安全協定 (例如 Transport Layer Security (TLS) 或 IPsec) 來減少資料竄改或遺失的風險。請查看 AWS 文件，了解與您使用的服務相關的協定和安全性。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 文件 ](https://docs.aws.amazon.com/)

# SEC09-BP02 強制執行傳輸中加密
<a name="sec_protect_data_transit_encrypt"></a>

 根據適當的標準和建議強制執行已定義的加密要求，協助您符合組織、法律和合規上的要求。AWS 服務提供使用 TLS 進行通訊的 HTTPS 端點，從而在與 API 通訊時提供傳輸中加密。不安全的通訊協定 (例如 HTTP) 可以在 VPC 中透過使用安全群組加以稽核和封鎖。HTTP 請求也可以 [自動重新導向至 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) 在 Amazon CloudFront 或 [Application Load Balancer 中](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions)。您可以完全控制您的運算資源，以在各個服務中實作傳輸中加密。此外，還可以從外部網路使用 VPN 連線功能進入 VPC，實現流量加密。如果您有特殊需求，AWS Marketplace 備有第三方解決方案。 

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  強制執行傳輸中加密：您定義的加密要求應符合最新標準和最佳實務，並僅允許採用安全協定。例如，將安全群組設定為僅允許 HTTPS 協定到 Application Load Balancer 或 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。 
+  在邊緣服務中設定安全協定：使用 Amazon CloudFront 和必要的加密法設定 HTTPS。 
  + [ 搭配 CloudFront 使用 HTTPS ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+  使用 VPN 進行外部連線：考慮使用 IPsec VPN 虛擬私有網路 (VPN)，保護點對點或網路對網路連線，以提供資料隱私和完整性。
  + [ VPN 連線 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+  在負載平衡器中設定安全協定：啟用 HTTPS 接聽程式以保護與負載平衡器的連線。
  + [ Application Load Balancer 的 HTTPS 接聽程式 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+  為執行個體設定安全協定：考慮在執行個體上設定 HTTPS 加密。
  + [ 教學：在 Amazon Linux 2 上設定 Apache Web 伺服器以使用 SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+  在 Amazon Relational Database Service (Amazon RDS) 中設定安全協定：使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 來加密與資料庫執行個體的連線。
  + [ 使用 SSL 加密與資料庫執行個體的連線 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+  在 Amazon Redshift 中設定安全協定：將您的叢集設定為要求 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 連線。
  + [ 設定連線的安全性選項 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+  在其他 AWS 服務中設定安全協定：對於您使用的 AWS 服務，請決定傳輸中加密功能。

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS 文件 ](https://docs.aws.amazon.com/index.html)

# SEC09-BP03 自動偵測意外的資料存取
<a name="sec_protect_data_transit_auto_unintended_access"></a>

 使用 Amazon GuardDuty 這類工具，自動偵測可疑活動或將資料移到所定義邊界之外的嘗試。例如，GuardDuty 可以偵測異常的 Amazon Simple Storage Service (Amazon S3) 讀取活動，發現結果為 [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual)。除了 GuardDuty，[擷取網路流量資訊的 Amazon VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)還可與 Amazon EventBridge 搭配使用，以觸發異常連線偵測，其中成功和拒絕兩者皆包含在內。[Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 可協助評估您的 Amazon S3 儲存貯體中誰可以存取哪些資料。 

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  自動偵測意外的資料存取：使用工具或偵測機制自動偵測將資料移出定義邊界的嘗試；例如，偵測將資料複製到無法識別之主機的資料庫系統。 
  + [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+  考慮 Amazon Macie：Amazon Macie 是一項全受管的資料安全和資料隱私服務，它使用機器學習和模式比對來探索和保護 AWS 中的敏感資料。
  + [ Amazon Macie ](https://aws.amazon.com/macie/)

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [ VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [ Amazon Macie ](https://aws.amazon.com/macie/)

# SEC09-BP04 驗證網路通訊
<a name="sec_protect_data_transit_authentication"></a>

 使用支援身份驗證的通訊協定 (Transport Layer Security (TLS) 或 IPsec) 來驗證通訊的身分。 

使用支援身份驗證的網路通訊協定，可讓雙方之間建立信任。此法可增加通訊協定中使用的加密，降低通訊遭到更改或攔截的風險。實作身份驗證的常見通訊協定包括許多 AWS 服務中使用的 Transport Layer Security (TLS)，以及在 [AWS Virtual Private Network (Site-to-Site VPN) 中使用的 IPsec](http://aws.amazon.com/vpn)。

 **若未建立此最佳實務，暴露的風險等級為：** 低 

## 實作指引
<a name="implementation-guidance"></a>
+  實作安全協定：使用提供身份驗證和機密性的安全協定 (例如 T TLS 或 IPsec) 來減少資料竄改或遺失的風險。請參閱 [AWS 文件](https://docs.aws.amazon.com/) ，了解與您使用的服務相關的協定和安全性。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 文件](https://docs.aws.amazon.com/)