SEC08-BP02 Menerapkan enkripsi data diam
Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS Key Management Service (AWS KMS) terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur enkripsi default pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, Amazon Elastic Compute Cloud (Amazon EC2) dan Amazon S3 mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan Aturan AWS Config untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk volume Amazon Elastic Block Store (Amazon EBS), instans Amazon Relational Database Service (Amazon RDS), dan bucket Amazon S3.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi
Panduan implementasi
-
Terapkan enkripsi data diam untuk Amazon Simple Storage Service (Amazon S3): Implementasikan enkripsi default bucket Amazon S3.
-
Gunakan AWS Secrets Manager: Secrets Manager adalah layanan AWS yang memudahkan Anda mengelola secret. Secret (rahasia) bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer.
-
Konfigurasikan enkripsi default untuk volume EBS baru: Tentukan bahwa Anda ingin agar semua volume EBS baru dibuat dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat.
-
Konfigurasikan Amazon Machine Image (AMI) terenkripsi: Menyalin AMI yang ada dengan enkripsi aktif akan mengenkripsi volume root dan snapshot secara otomatis.
-
Konfigurasikan enkripsi Amazon Relational Database Service (Amazon RDS): Konfigurasikan enkripsi untuk klaster dan snapshot basis data Amazon RDS Anda saat diam dengan mengaktifkan opsi enkripsi.
-
Konfigurasikan enkripsi di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi.
Sumber daya
Dokumen terkait:
Video terkait:
