本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 防止未經授權的存取和資料外洩
<a name="prevent-unauthorized-access"></a>

根據 [2022 年資料外洩成本報告](https://securityintelligence.com/series/2022-cost-of-a-data-breach-report/) (Ponemon Institute 報告），2022 年資料外洩的平均成本為 USD4。對於半導體公司而言，保護智慧財產權 (IP) 至關重要。因未經授權的存取而遺失 IP 可能會導致財務損失、聲譽受損，甚至是法規後果。這些潛在後果會導致控制對資料和資料流程的存取，而資料是架構良好的設計的關鍵層面。

保護資料安全的重要考量包括：
+ 存取安全開發環境的使用者身分驗證
+ 在安全開發環境中存取資料的使用者授權
+ 記錄所有進出安全開發環境的傳輸
+ 架構環境之間的安全資料流程
+ 對傳輸中和靜態中的資料進行加密
+ 限制和記錄傳出網路流量

## 設定許可
<a name="configure-permissions"></a>

[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 透過控制已驗證並獲授權使用的人員，協助您安全地管理對 AWS 資源的存取。根據預設，除非明確允許，否則 中的任何動作 AWS 都會隱含拒絕。您可以透過建立 *政策* AWS 來管理 中的存取。您可以使用政策來定義哪些使用者可以存取哪些資源，以及他們可以對這些資源執行哪些動作。 AWS 最佳實務是套用最低權限許可，這表示您只授予使用者執行其任務所需的許可。如需詳細資訊，請參閱 IAM 文件中的下列內容：
+ [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Policy 評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)
+ [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#:~:text=Management%20User%20Guide.-,Apply%20least%2Dprivilege%20permissions,known%20as%20least%2Dprivilege%20permissions)

## 驗證使用者
<a name="authenticate-users"></a>

 AWS 最佳實務是要求人類使用者使用聯合身分提供者 AWS ，以使用臨時憑證來存取 。集中使用者人力資源存取的建議服務是 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。此服務可協助您安全地建立或連線您的人力資源身分，並集中管理其跨 AWS 帳戶 和應用程式的存取。IAM Identity Center 可以使用 SAML 2.0、Open ID Connect (OIDC) 或 OAuth 2.0 與外部身分提供者 (IdPs) 聯合，以提供無縫整合和使用者管理。如需詳細資訊，請參閱 (AWS 行銷） [中的聯合身分 AWS](https://aws.amazon.com/identity/federation/)和聯合[身分提供者和聯合身分 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)(IAM 文件）。

您也可以使用 驗證和授權使用者[AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)，以管理目錄中定義的使用者和群組，例如 Active Directory。在安全開發環境中，您可以使用 Linux 檔案許可來授權和限制虛擬私有雲端 (VPC) 內的資料存取。使用 [VPC 端點](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)提供對 的存取， AWS 服務 而不周遊公有網際網路。使用[端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)來限制哪些 AWS 主體可以使用端點，並使用身分型政策來限制對 的存取 AWS 服務。

## 傳輸資料
<a name="transfer-data"></a>

AWS 提供多種方式將內部部署資料遷移至雲端。最初將資料存放在 [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) 中很常見。Amazon S3 是一種雲端型物件儲存服務，可協助您存放、保護和擷取任意數量的資料。在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間傳輸資料時，可提供高達 25 Gbps 的頻寬。它還提供跨區域資料複寫和資料分層。存放在 Amazon S3 中的資料可作為複寫來源。您可以使用它來建立新的檔案系統，或將資料傳輸到 EC2 執行個體。您可以使用 Amazon S3 做為 AWS 受管、可攜式作業系統界面 (POSIX) 相容檔案系統的後端，以用於半導體工具和流程。

另一個 AWS 儲存服務是 [Amazon FSx](https://docs.aws.amazon.com/fsx/)，它提供支援業界標準連線通訊協定的檔案系統，並提供跨 的高可用性和複寫 AWS 區域。半導體產業的常見選擇包括 [Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)、[Amazon FSx for Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html) 和 [Amazon FSx for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html)。Amazon FSx 中可擴展的高效能檔案系統非常適合在本機安全開發環境中存放資料。

AWS 建議您先在 AWS [上定義半導體工作負載的儲存需求](https://docs.aws.amazon.com/whitepapers/latest/semiconductor-design-on-aws/define-storage-requirements-and-transfer-data.html)，然後識別適當的資料傳輸機制。 AWS 建議使用 [AWS DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)將資料從現場部署傳輸到 AWS。DataSync 是一種線上資料傳輸和探索服務，可協助您在 AWS 儲存服務之間來回移動檔案或物件資料。視您使用的是自我管理儲存系統或 NetApp 等儲存提供者而定，您可以設定 DataSync 來加速透過網際網路或透過 將資料移動和複寫至安全開發環境 AWS Direct Connect。DataSync 可以傳輸檔案系統資料和中繼資料，例如擁有權、時間戳記和存取許可。如果您要在 FSx for ONTAP 和 NetApp ONTAP 之間傳輸檔案， AWS 建議使用 [NetApp SnapMirror](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/migrating-fsx-ontap-snapmirror.html)。Amazon FSx 支援靜態和傳輸中的加密。使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)和其他服務特定的記錄功能來記錄所有 API 呼叫和相關的資料傳輸。將日誌集中在專用帳戶中，並套用不可變歷史記錄的精細存取政策。

AWS 提供其他服務以協助控制資料流程，包括應用程式感知網路防火牆，例如 [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)、[Amazon Route 53 Resolver DNS 防火牆](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)、 和 Web 代理。使用 Amazon Virtual Private Cloud (Amazon VPC)、Network Firewall、[傳輸閘道路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)[和服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 中的[安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)、[網路存取控制清單](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)和 VPC 端點強制執行網路分段，以控制環境中的資料流程 AWS Organizations。使用 [VPC 流程日誌](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/vpc-flow-logs.html)和 VPC 流程日誌第 2-5 版中的[可用欄位](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)，集中記錄所有網路流量。

## 加密資料
<a name="encrypt-data"></a>

使用 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 客戶受管金鑰或 加密所有靜態資料[AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)。建立和維護精細的金鑰資源政策。如需詳細資訊，請參閱[為靜態資料建立企業加密策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)。

使用業界標準的 256 位元進階加密標準 (AES-256) 密碼強制執行至少 TLS 1.2，以加密傳輸中的資料。

## 管理傳出網路流量
<a name="manage-outbound-traffic"></a>

如果安全開發環境需要網際網路存取，則應透過網路層級強制執行點記錄和限制所有傳出網際網路流量，例如透過 Network Firewall 或 [Squid](http://www.squid-cache.org/Intro/)，這是開放原始碼代理。VPC 端點和網際網路代理有助於防止使用者未經授權洩露資料。這對於允許存取安全開發環境和 VPC 內的資料至關重要。

最後，您可以使用 [Amazon VPC 的一項功能 Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) 來執行網路分段驗證，並識別不符合指定需求的潛在網路路徑。

透過分層安全控制，您可以建立和強制執行強大的資料周邊。如需詳細資訊，請參閱[在 上建立資料周邊 AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)。