此内容已过时。此版本的架构完善的框架现在可在以下位置找到： https://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/security.html

SEC 8: 如何保护静态数据？

通过实施多个控制措施来保护静态数据，以降低未经授权的访问或处理不当带来的风险。

资源

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

最佳实践:

实施安全密钥管理: 必须安全地存储加密密钥，并实施严格的访问控制，例如使用 AWS KMS 等密钥管理服务。考虑使用不同的密钥和密钥访问控制，并结合 AWS IAM 和资源策略，以符合数据分类级别和隔离要求。
强制实施静态加密: 根据最新的标准和推荐强制实施加密要求，以保护您的静态数据。
自动执行静态数据保护: 利用自动化工具持续验证和实施静态数据保护，例如，确保只存在经过加密的存储资源。
强制实施访问控制: 强制实施包含最低权限和机制的访问控制，包括备份、隔离和版本控制，以帮助保护您的静态数据。防止操作员授予对您的数据的公共访问权限。
使用机制限制对数据的访问: 禁止所有用户直接访问正常运行环境中的敏感数据和系统。例如，提供一个控制面板而不是通过直接访问数据存储来执行查询。当未使用 CI/CD 管道时，确定需要利用哪些控制措施和流程来充分提供通常禁用的 Break Glass 访问机制。

改进计划

实施安全密钥管理

实施 AWS Key Management Service (AWS KMS): 使用 AWS Key Management Service (AWS KMS) 可以轻松地创建和管理密钥，并控制在各种 AWS 服务和应用程序中使用加密。AWS KMS 是一项安全且具有弹性的服务，使用经过 FIPS 140-2 验证的硬件安全模块来保护您的密钥。
Getting started: AWS Key Management Service (AWS KMS)

考虑 AWS 加密开发工具包: 当您的应用程序需要加密客户端数据时，使用包含 AWS KMS 集成的 AWS 加密软件开发工具包。
AWS Encryption SDK

强制实施静态加密

为 Amazon S3 强制实施静态加密: 实施 S3 存储桶默认加密。
How do I enable default encryption for an S3 bucket?

使用 AWS Secrets Manager: AWS Secrets Manager 是一项 AWS 服务，让您能够轻松地管理密钥。密钥可以是数据库凭证、密码、第三方 API 密钥甚至任意文本。
AWS Secrets Manager

为新的 EBS 卷配置默认加密: 指定要以加密形式创建所有新创建的 EBS 卷，并选择使用 AWS 提供的默认密钥或您创建的密钥。
Default encryption for EBS volumes

配置加密 Amazon 系统映像 (AMI): 通过复制启用加密功能的现有 AMI，可自动加密根卷和快照。
AMIs with encrypted Snapshots

配置 Amazon RDS 加密: 通过启用加密选项，配置对您的 Amazon RDS 数据库集群和静态快照的加密。
Encrypting Amazon RDS resources

在其他 AWS 服务中配置加密: 对于您使用的 AWS 服务，请确定加密功能。
AWS Documentation

自动执行静态数据保护

强制实施访问控制

强制实施访问控制: 强制实施最低权限访问控制，包括对加密密钥的访问。
Introduction to Managing Access Permissions to Your Amazon S3 Resources

根据不同分类级别隔离数据: 针对 AWS Organizations 管理的数据分类级别使用不同的 AWS 账户。
AWS Organizations

查看 AWS KMS 策略: 查看 AWS KMS 策略中授予的访问级别。
Overview of managing access to your AWS KMS resources

查看 S3 存储桶和对象权限: 定期查看 Amazon S3 存储桶策略中授予的访问级别。最佳做法是配置不可公开读取或写入的存储桶。考虑使用 AWS Config 检测可公开访问的存储桶，并使用 Amazon CloudFront 提供 Amazon S3 中的内容。
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

启用 Amazon S3 版本控制和对象锁定
Using versioning
Locking Objects Using Amazon S3 Object Lock

使用 Amazon S3 清单: Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
Amazon S3 Inventory

查看 Amazon EBS 和 AMI 共享权限: 共享权限允许将映像和卷共享到您的工作负载外部的 AWS 账户。
Sharing an Amazon EBS Snapshot
Shared AMIs

使用机制限制对数据的访问

实施可限制对数据的访问的机制: 这些机制包括使用控制面板（例如 Amazon QuickSight），以向用户显示数据，而不是直接查询。
Amazon QuickSight

自动管理配置: 远程执行操作，使用配置管理服务或工具自动实施安全配置并对其进行验证。避免使用堡垒主机或直接访问 EC2 实例。
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS