本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 保護資料的安全控制建議
<a name="data-controls"></a>

 AWS Well-Architected Framework 將保護資料的最佳實務分為三個類別：資料分類、保護靜態資料，以及保護傳輸中的資料。本節中的安全控制可協助您實作資料保護的最佳實務。在您架構雲端中的任何工作負載之前，應該具備這些基礎最佳實務。它們可防止資料處理不當，而且可協助您履行組織、法規和合規義務。使用本節中的安全控制項來實作資料保護的最佳實務。

**Topics**
+ [在工作負載層級識別和分類資料](#data-classification)
+ [為每個資料分類層級建立控制項](#data-controls-classification-level)
+ [加密靜態資料](#encrypt-data-at-rest)
+ [加密傳輸中的資料](#encrypt-data-in-transit)
+ [封鎖對 Amazon EBS 快照的公開存取](#block-public-ebs)
+ [封鎖對 Amazon RDS 快照的公開存取](#block-public-rds)
+ [封鎖對 Amazon RDS、Amazon Redshift 和資源的公開存取 AWS DMS](#block-public-access-instances)
+ [封鎖對 Amazon S3 儲存貯體的公開存取](#block-public-access-s3)
+ [要求 MFA 刪除關鍵 Amazon S3 儲存貯體中的資料](#mfa-delete-s3-data)
+ [在 VPC 中設定 Amazon OpenSearch Service 網域](#opensearch-domains-vpc)
+ [設定 AWS KMS key 要刪除的提醒](#kms-key-deletion)
+ [封鎖對 的公開存取 AWS KMS keys](#block-public-access-keys)
+ [設定負載平衡器接聽程式以使用安全通訊協定](#load-balancer-listeners)

## 在工作負載層級識別和分類資料
<a name="data-classification"></a>

*資料分類*是根據重要性和敏感性來識別和分類網路資料的程序。它是所有網路安全風險管理策略的關鍵組成部分，因為它可以協助您確定適當的資料保護和保留控制。資料分類通常會降低資料重複的頻率。這可以降低儲存和備份成本，並加速搜尋。

我們建議您了解工作負載正在處理的資料類型和分類、相關聯的業務流程、資料的存放位置，以及誰擁有資料。資料分類可協助工作負載擁有者識別存放敏感資料的位置，並判斷應如何存取和共用該資料。*標籤*是鍵/值對，可做為中繼資料來組織 AWS 資源。標籤可協助管理、識別、組織、搜尋和篩選資源。

如需詳細資訊，請參閱下列資源：
+  AWS 白皮書中的[資料分類](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) 
+ 在 AWS Well-Architected 架構中[識別工作負載中的資料](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_identify_data.html) 

## 為每個資料分類層級建立控制項
<a name="data-controls-classification-level"></a>

定義每個分類層級的資料保護控制。例如，使用建議的控制項來保護分類為公有的資料，並使用其他控制項來保護敏感資料。使用機制和工具來減少或消除直接存取或手動處理資料的需求。自動化資料識別和分類可降低分類錯誤、處理不當、修改或人為錯誤的風險。

例如，請考慮使用 Amazon Macie 掃描 Amazon Simple Storage Service (Amazon S3) 儲存貯體的敏感資料，例如個人身分識別資訊 (PII)。此外，您也可以在 Amazon Virtual Private Cloud (Amazon VPC) 中使用 VPC 流程日誌，自動偵測意外的資料存取。

如需詳細資訊，請參閱下列資源：
+ 在 AWS Well-Architected 架構中[定義資料保護控制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html) 
+ 在 AWS Well-Architected Framework 中[自動化識別和分類](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_auto_classification.html) 
+ 方案指引中的[AWS 隱私權參考架構 (AWS PRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/privacy-reference-architecture/introduction.html) AWS 
+ [在 Macie 文件中使用 Amazon Macie 探索敏感資料](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) 
+ Amazon [VPC 文件中的使用 VPC 流程日誌記錄 IP 流量](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html?ref=wellarchitected) 
+ 在 AWS for Industries 部落格[中使用 偵測 PHI 和 PII 資料的常見技術 AWS 服務](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) 

## 加密靜態資料
<a name="encrypt-data-at-rest"></a>

*靜態資料*是網路中靜態的資料，例如儲存中的資料。實作靜態資料的加密和適當的存取控制，有助於降低未經授權的存取風險。*加密*是一種運算程序，可將人類可讀取的純文字資料轉換為加密文字。您需要加密金鑰，才能將內容解密回純文字，以便使用。在 中 AWS 雲端，您可以使用 AWS Key Management Service (AWS KMS) 來建立和控制密碼編譯金鑰，以協助保護您的資料。

如 中所述[為每個資料分類層級建立控制項](#data-controls-classification-level)，我們建議您建立政策來指定需要加密的資料類型。包含如何判斷哪些資料應該加密，以及哪些資料應該使用另一種技術來保護的條件，例如字符化或雜湊。

如需詳細資訊，請參閱下列資源：
+ 在 Amazon S3 文件中[設定預設加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 
+ Amazon EC2 文件中的[新 EBS 磁碟區和快照複本預設加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+ [Amazon Aurora 文件中的加密 Amazon Aurora 資源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) 
+ 文件中的 AWS KMS [密碼編譯詳細資訊簡介 AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  AWS 在方案指引中[為靜態資料建立企業加密策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html) 
+ 在 AWS Well-Architected 架構中[強制執行靜態加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_rest_encrypt.html) 
+ 如需特定 加密的詳細資訊 AWS 服務，請參閱該服務[AWS 的文件](https://docs.aws.amazon.com/index.html#products) 

## 加密傳輸中的資料
<a name="encrypt-data-in-transit"></a>

*傳輸中的資料*是在您的網路中主動移動的資料，例如在網路資源之間移動。使用安全的 TLS 通訊協定和密碼套件加密傳輸中的所有資料。資源與網際網路之間的網路流量必須加密，以協助防止未經授權的資料存取。如果可能，請使用 TLS 來加密內部 AWS 環境中的網路流量。

如需詳細資訊，請參閱下列資源：
+ Amazon CloudFront [ CloudFront 文件中的檢視器與 CloudFront 之間需要 HTTPS 進行通訊](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) 
+ [AWS PrivateLink 文件](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
+ 在 AWS Well-Architected 架構中[強制執行傳輸中的加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html) 
+ 如需特定 加密的詳細資訊 AWS 服務，請參閱該服務[AWS 的文件](https://docs.aws.amazon.com/index.html#products) 

## 封鎖對 Amazon EBS 快照的公開存取
<a name="block-public-ebs"></a>

[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) 提供區塊層級儲存磁碟區，可與 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體搭配使用。您可取得某個時間點的快照，藉此將 Amazon EBS 磁碟區上的資料備份至 Amazon S3。您可以公開與所有其他 共用快照 AWS 帳戶，也可以私下與您 AWS 帳戶 指定的個人共用快照。

建議您不要公開共用 Amazon EBS 快照。這可能會無意中公開敏感資料。當您共用快照時，您會讓其他人存取快照中的資料。僅與您對所有資料信任的人員共用快照。

如需詳細資訊，請參閱下列資源：
+ 在 Amazon EC2 文件中[共用快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) 
+ [Amazon EBS 快照不應在文件中公開還原](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-1) AWS Security Hub CSPM 
+ 文件中的 AWS Config [ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) 

## 封鎖對 Amazon RDS 快照的公開存取
<a name="block-public-rds"></a>

[Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) 可協助您在 中設定、操作和擴展關聯式資料庫 AWS 雲端。Amazon RDS 會在資料庫執行個體的備份時段期間建立並儲存資料庫 （資料庫） 執行個體或多可用區域資料庫叢集的自動備份。Amazon RDS 會建立資料庫執行個體的儲存體磁碟區快照，因此會備份整個資料庫執行個體，而不只是個別的資料庫。您可以共用手動快照，以複製快照或從中還原資料庫執行個體。

如果您將快照共用為公有，請確定快照中的任何資料都不是私有或敏感的。公開共用快照時，會授予存取資料的所有 AWS 帳戶 許可。這可能會導致 Amazon RDS 執行個體中的資料意外暴露。

如需詳細資訊，請參閱下列資源：
+ 在 [Amazon RDS 文件中共用資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) 
+  AWS Config 文件中的 [rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) 
+ [RDS 快照在 Security Hub CSPM 文件中應為私有](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) 

## 封鎖對 Amazon RDS、Amazon Redshift 和資源的公開存取 AWS DMS
<a name="block-public-access-instances"></a>

您可以將 Amazon RDS 資料庫執行個體、Amazon Redshift 叢集和 AWS Database Migration Service (AWS DMS) 複寫執行個體設定為可公開存取。如果`publiclyAccessible`欄位值為 `true`，則可公開存取這些資源。允許公開存取可能會導致不必要的流量、暴露或資料洩漏。建議您不要允許公開存取這些資源。

建議您啟用 AWS Config 規則或 Security Hub CSPM 控制項，以偵測 Amazon RDS 資料庫執行個體、 AWS DMS 複寫執行個體或 Amazon Redshift 叢集是否允許公開存取。

**注意**  
佈建執行個體之後，無法修改 AWS DMS 複寫執行個體的公有存取設定。若要變更公有存取設定，請刪除目前的執行個體，然後重新建立它。當您重新建立時，請勿選取**公開存取**選項。

如需詳細資訊，請參閱下列資源：
+ Security Hub CSPM 文件中[AWS DMS 不應公開複寫執行個體](https://docs.aws.amazon.com/securityhub/latest/userguide/dms-controls.html#dms-1) 
+ [RDS 資料庫執行個體應該禁止 Security Hub CSPM 文件中的公開存取](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) 
+ [Amazon Redshift 叢集應該禁止 Security Hub CSPM 文件中的公開存取](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) 
+  AWS Config 文件中的 [rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) 
+  AWS Config 文件中的 [dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) 
+ 文件中的 AWS Config [redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) 
+ 在 [Amazon RDS 文件中修改 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) 
+ 在 Amazon Redshift 文件中[修改叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) 

## 封鎖對 Amazon S3 儲存貯體的公開存取
<a name="block-public-access-s3"></a>

這是 Amazon S3 安全最佳實務，可確保您的儲存貯體無法公開存取。除非您明確要求網際網路上的任何人能夠讀取或寫入您的儲存貯體，否則請確定您的儲存貯體不是公開的。這有助於保護資料的完整性和安全性。您可以使用 AWS Config 規則和 Security Hub CSPM 控制項來確認您的 Amazon S3 儲存貯體符合此最佳實務。

如需詳細資訊，請參閱下列資源：
+ [Amazon S3 文件中的 Amazon S3 安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html#security-best-practices-prevent) Amazon S3 
+ [應在 Security Hub CSPM 文件中啟用 S3 封鎖公開存取設定](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-1) 
+ [S3 儲存貯體應該禁止 Security Hub CSPM 文件中的公開讀取存取](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-2) 
+ [S3 儲存貯體應該禁止 Security Hub CSPM 文件中的公有寫入存取](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-3) 
+ 文件中的 AWS Config [s3-bucket-public-read-prohibited 規則](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) 
+  AWS Config 文件中的 [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

## 要求 MFA 刪除關鍵 Amazon S3 儲存貯體中的資料
<a name="mfa-delete-s3-data"></a>

在 Amazon S3 儲存貯體中使用 S3 版本控制時，您可以選擇將儲存貯體設定為啟用 [MFA (多重因素認證) Delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/versioning-workflows.html)，來增加額外的安全性。當您這樣做時，儲存貯體擁有者必須在任一要求中包含兩種身分驗證形式，才能刪除版本或變更儲存貯體的版本控制狀態。建議您為包含對組織至關重要之資料的儲存貯體啟用此功能。這可以防止意外刪除儲存貯體和資料。

如需詳細資訊，請參閱下列資源：
+ 在 Amazon S3 文件中[設定 MFA 刪除](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) 

## 在 VPC 中設定 Amazon OpenSearch Service 網域
<a name="opensearch-domains-vpc"></a>

Amazon OpenSearch Service 是一項受管服務，可協助您在 中部署、操作和擴展OpenSearch叢集 AWS 雲端。Amazon OpenSearch Service 支援 OpenSearch和舊版Elasticsearch開放原始碼軟體 (OSS)。在 VPC 內部署的 Amazon OpenSearch Service 網域可以透過私有 AWS 網路與 VPC 資源通訊，而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來改善您的安全狀態。建議您不要將 Amazon OpenSearch Service 網域連接至公有子網路，並根據最佳實務設定 VPC。

如需詳細資訊，請參閱下列資源：
+ [在 Amazon OpenSearch Service 文件中的 VPC 內啟動 Amazon OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) OpenSearch 
+  AWS Config 文件中的 [opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) 
+ [OpenSearch 網域應該位於 Security Hub CSPM 文件中的 VPC](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-2) 中

## 設定 AWS KMS key 要刪除的提醒
<a name="kms-key-deletion"></a>

AWS Key Management Service (AWS KMS) 金鑰在刪除後無法復原。如果刪除 KMS 金鑰，在該金鑰下仍然加密的資料將永久無法復原。如果您需要保留對資料的存取權，在刪除金鑰之前，您必須解密資料或使用新的 KMS 金鑰重新加密資料。只有當您確定不再需要使用 KMS 金鑰時，才應刪除 KMS 金鑰。

我們建議您設定 Amazon CloudWatch 警示，在有人啟動刪除 KMS 金鑰時通知您。由於刪除 KMS 金鑰具有破壞性和潛在危險性，因此 AWS KMS 需要您設定等待期間，並在 7-30 天內刪除排程。這可讓您檢閱排定的刪除，並視需要將其取消。

如需詳細資訊，請參閱下列資源：
+ [排程和取消文件中的金鑰刪除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) AWS KMS 
+ [建立警示，以偵測文件中待刪除的 KMS 金鑰使用情況](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) AWS KMS 
+ [AWS KMS keys 不應在 Security Hub CSPM 文件中意外刪除](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) 

## 封鎖對 的公開存取 AWS KMS keys
<a name="block-public-access-keys"></a>

[金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)是控制 存取的主要方式 AWS KMS keys。每個 KMS 金鑰只有一個金鑰政策。允許匿名存取 KMS 金鑰可能會導致敏感資料洩露。我們建議您識別任何可公開存取的 KMS 金鑰並更新其存取政策，以防止對這些資源提出未簽署的請求。

如需詳細資訊，請參閱下列資源：
+  AWS KMS 文件中的 [安全最佳實務 AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) 
+ [變更文件中的金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) AWS KMS 
+ [判斷 文件中的 存取權 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html) AWS KMS 

## 設定負載平衡器接聽程式以使用安全通訊協定
<a name="load-balancer-listeners"></a>

[Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) 會自動將傳入的應用程式流量分散到多個目標。您可以指定一或多個*接聽程式*，以將負載平衡器設定為接受傳入流量。接聽程式是檢查連線請求的程序，必須使用您已設定的通訊協定與連接埠。每種類型的負載平衡器都支援不同的通訊協定和連接埠：
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) 會在應用程式層進行路由決策，並使用 HTTP 或 HTTPS 通訊協定。
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) 在傳輸層做出路由決策，並使用 TCP、TLS、UDP 或 TCP\_UDP 通訊協定。
+ [Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) 會在傳輸層 （使用 TCP 或 SSL 通訊協定） 或應用程式層 （使用 HTTP 或 HTTPS 通訊協定） 進行路由決策。

我們建議您一律使用 HTTPS 或 TLS 通訊協定。這些通訊協定可確保負載平衡器負責加密和解密用戶端與目標之間的流量。

如需詳細資訊，請參閱下列資源：
+ Elastic Load Balancing 文件中的 [Application Load Balancer 接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) 
+ Elastic Load Balancing 文件中的 [Classic Load Balancer 接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html) 
+ Elastic Load Balancing 文件中的 [Network Load Balancer 接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-listeners.html) 
+ [確保 規範指引中的 AWS 負載平衡器使用安全接聽程式通訊協定](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/ensure-aws-load-balancers-use-secure-listener-protocols-https-ssl-tls.html) AWS 
+  AWS Config 文件中的 [elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) 
+ 在 Security Hub CSPM 文件中[，Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-3) 
+ [Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 Security Hub CSPM 文件中的 HTTPS](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1)