本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 一般加密最佳實務
<a name="general-encryption-best-practices"></a>

本節提供在 中加密資料時套用的建議 AWS 雲端。這些一般加密最佳實務並非專屬 AWS 服務。本節包含下列主題：
+ [資料分類](#data-classification)
+ [加密傳輸中的資料](#encryption-of-data-in-transit)
+ [靜態資料加密](#encryption-of-data-at-rest)

## 資料分類
<a name="data-classification"></a>

*資料分類*是根據重要性和敏感性來識別和分類網路資料的程序。它是所有網路安全風險管理策略的關鍵組成部分，因為它可以協助您確定適當的資料保護和保留控制。[資料分類](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/data-classification.html)是 Well-Architected Framework 中 AWS 安全支柱的元件。類別可能包括*高度機密*、*機密*、*非機密*和*公有*，但分類層及其名稱可能因組織而異。如需資料分類程序、考量事項和模型的詳細資訊，請參閱[資料分類](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) (AWS 白皮書）。

將資料分類後，您可以根據每個類別所需的保護層級為您的組織建立加密策略。例如，您的組織可能會決定高度機密的資料應使用非對稱加密，且公有資料不需要加密。如需有關設計加密策略的詳細資訊，請參閱[為靜態資料建立企業加密策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)。雖然該指南中的技術考量事項和建議特定於靜態資料，但您也可以使用分階段方法為傳輸中的資料建立加密策略。

## 加密傳輸中的資料
<a name="encryption-of-data-in-transit"></a>

 AWS 區域 透過 AWS 全球網路在 之間傳輸的所有資料，都會 AWS 在離開 AWS 安全設施之前由 自動加密。 會 AWS 加密可用區域之間的所有流量。

對於流經工作負載的資料，下列是在 中加密傳輸中資料的一般最佳實務 AWS 雲端：
+ 根據您的資料分類、組織要求以及任何適用的法規或合規標準，為傳輸中的資料定義組織加密政策。我們強烈建議您對分類為高度機密或機密的傳輸中的資料進行加密。您的政策也可能視需要指定其他類別的加密，例如非機密或公有資料。
+ 對傳輸中的資料進行加密時，我們建議使用已核准的密碼編譯演算法、區塊加密模式和金鑰長度，如加密政策中定義。我們進一步建議定期檢閱與 Application Load Balancer、Amazon API Gateway 資源、Amazon CloudFront 資源和 Amazon Virtual Private Cloud (Amazon VPC) 資源相關聯的 TLS 政策，以確保它們符合您目前的加密政策。
+ 使用下列其中一項，加密公司網路和 AWS 雲端 基礎設施中資訊資產和系統之間的流量：
  + [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 連線
  +  AWS Site-to-Site VPN 和 [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)連線的組合，可提供 IPsec 加密的私有連線
  + Direct Connect 支援 MAC Security (MACsec) 將資料從公司網路加密到 Direct Connect 位置的連線
+ 根據最低權限原則，識別受管憑證和 TLS 政策組態的存取控制政策。*最低權限*是授予使用者執行工作職能所需的最低存取權的安全最佳實務。如需有關套用最低權限許可的詳細資訊，請參閱 [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)和 [IAM 政策的最佳實務](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html)。

## 靜態資料加密
<a name="encryption-of-data-at-rest"></a>

Amazon Simple Storage Service (Amazon S3) 和 Amazon Elastic File System (Amazon EFS) 等所有資料 AWS 儲存服務提供加密靜態資料的選項。使用 256 位元進階加密標準 (AES-256) 區塊加密和 AWS 密碼編譯服務來執行加密，例如 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 或 [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)。

您可以根據資料分類、端對端加密需求或阻止您使用端對端加密的技術限制等因素，使用用戶端加密或伺服器端加密來加密資料：
+ *用戶端加密*是在目標應用程式或服務接收資料之前在本機加密資料的行為。 AWS 服務 收到加密的資料，但在加密或解密中未扮演任何角色。對於用戶端加密，您可以使用 AWS KMS、[AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 或其他第三方加密工具或服務。
+ *伺服器端加密*是指接收資料的應用程式或服務在目的地加密資料的行為。對於伺服器端加密，您可以使用 AWS KMS 來加密整個儲存區塊。您也可以使用其他第三方加密工具或服務 (例如 [LUKS](https://gitlab.com/cryptsetup/cryptsetup/)) 在作業系統 (OS) 層級加密 Linux 檔案系統。

以下是在 AWS 雲端中對靜態資料進行加密時的一般最佳實務：
+ 根據您的資料分類、組織要求以及任何適用的法規或合規標準，為靜態資料定義組織加密政策。如需詳細資訊，請參閱[為靜態資料建立企業加密策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)。我們強烈建議您對分類為高度機密或機密的靜態資料進行加密。您的政策也可能視需要指定其他類別的加密，例如非機密或公有資料。
+ 對靜態資料進行加密時，我們建議使用已核准的密碼編譯演算法、區塊加密模式和金鑰長度。
+ 根據最低權限原則識別加密金鑰的存取控制政策。