Понимание безопасности данных EBS в состоянии покоя
EBS (Elastic Block Store) обеспечивает несколько уровней защиты данных в состоянии покоя. Хотя тома EBS по своей природе безопасны, AWS предлагает дополнительные механизмы шифрования для обеспечения комплексной защиты данных.
Механизмы защиты по умолчанию
- Все тома EBS автоматически шифруются на уровне инфраструктуры хранилища
- AWS использует стандартные отраслевые протоколы шифрования для защиты данных, хранящихся на физических дисках
- Данные защищены от несанкционированного физического доступа через защищённые дата-центры AWS
Лучшие практики шифрования EBS
Включи шифрование EBS для повышенной безопасности:
- Шифрование можно включить при создании тома или применить к существующим томам
- Зашифрованные тома требуют минимальных потерь производительности
- Ключами шифрования управляет AWS KMS (Key Management Service)
Варианты управления ключами
- Ключи, управляемые AWS: автоматически создаются и управляются AWS
- Ключи, управляемые клиентом: дают больший контроль над жизненным циклом ключа шифрования и политиками доступа
- Ключи хранятся отдельно от зашифрованных данных согласно лучшим практикам безопасности
Дополнительные соображения по безопасности
- Снапшоты зашифрованных томов шифруются автоматически
- Зашифрованные тома можно подключать только к инстансам, поддерживающим шифрование EBS
- Настрой IAM-политики для ограничения доступа к ключам шифрования
- Включи логирование CloudTrail для мониторинга использования ключей и паттернов доступа
Соответствие стандартам и валидация
Шифрование EBS соответствует:
- Стандартам FIPS 140-2
- Различным отраслевым требованиям (HIPAA, PCI-DSS и т. д.)
- AWS Nitro System для дополнительной аппаратной защиты
Сочетая встроенную инфраструктуру безопасности EBS с явным шифрованием и грамотным управлением ключами, ты можешь обеспечить комплексную защиту своих данных в состоянии покоя.