本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為靜態資料建立企業加密策略
<a name="welcome"></a>

*Venki Srivatsav、Andrea Di Fabio 和 Vikramaditya Bhatnagar，Amazon Web Services (AWS)*

*2022 年 9 月* ([文件歷史記錄](doc-history.md))

許多企業都擔心資料外洩的網路安全威脅。發生資料外洩時，未經授權的人員會存取您的網路並竊取企業資料。防火牆和反惡意軟體服務有助於防止此威脅。您可以實作的另一個保護是資料加密。在本指南的關於資料加密區段中，您可以進一步了解資料加密的運作方式和可用的類型。

當您討論加密時，一般來說，有兩種類型的資料。*傳輸中的資料*是在您的網路中主動移動的資料，例如在網路資源之間移動。*靜態資料*是靜止且處於休眠狀態的資料，例如儲存中的資料。此策略著重於靜態資料。如需加密傳輸中資料的詳細資訊，請參閱[保護傳輸中資料](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) (AWS Well-Architected Framework)。

*加密策略*包含四個部分，您在循序階段開發。*加密政策*由高階管理層決定，並概述加密的法規、合規和業務需求。*加密標準*可協助實作政策的人員了解並遵循政策。標準可以是技術或程序。*架構*是支援標準實作的標準操作程序、結構和護欄。最後，*架構*是加密標準的技術實作，例如您使用的環境、服務和工具。本文件的目標是協助您建立符合您業務、安全和合規需求的加密策略。其中包括如何檢閱和實作靜態資料安全標準的建議，以便您以整體方式滿足您的合規和業務需求。

此策略使用 AWS Key Management Service (AWS KMS) 來協助您建立和管理密碼編譯金鑰，以協助保護您的資料。 與許多 AWS 服務 AWS KMS 整合，以加密所有靜態資料。即使您選擇不同的加密服務，您仍然可以採用本指南中的建議和階段。

## 目標對象
<a name="intended-audience"></a>

此策略旨在解決下列對象：
+ 為企業制定政策的執行主管，例如CEOs、技術長 (CTOs)、資訊長 (CIOs) 和資訊安全長 CISOs)
+ 負責制定技術標準的技術官，例如技術副總裁和總監
+ 負責監控合規政策合規性的合規和治理主管，包括法定和自願合規機制

## 目標業務成果
<a name="targeted-business-outcomes"></a>
+ **Data-at-rest加密政策** – 決策者和政策制定者可以建立加密政策，並了解影響政策的關鍵因素。
+ **Data-at-rest加密標準 – **技術領導者可以根據加密政策開發加密標準。
+ **加密架構** – 技術領導者和實作者可以建立架構，做為決策政策的人員與建立標準人員之間的橋樑。在這種情況下，架構意味著識別適當的程序和工作流程，協助您在政策的限制範圍內實作標準。架構類似於標準操作程序或變更政策或標準的變更管理程序。
+ **技術架構和實作** – 開發人員和架構師等實作器了解可用的架構參考，可協助他們實作加密策略。

## 限制
<a name="limitations"></a>

本文件旨在協助您制定最適合企業需求的自訂加密策略。它不是加密策略本身，也不是合規檢查清單。本文件不包含下列主題：
+ 加密傳輸中的資料
+ 字符化
+ 雜湊
+ 合規和資料控管
+ 為您的加密程式編列預算

如需這些主題的詳細資訊，請參閱[資源](resources.md)一節。