10月28, 2020

运用最佳实践,保护 Amazon DynamoDB 中的敏感数据

Original URL: https://aws.amazon.com/cn/blogs/database/applying-best-practices-for-securing-sensitive-data-in-amazon-dynamodb/

在本系列的第一篇文章《AWS数据存储中的敏感数据保护最佳实践》(Best practices for securing sensitive data in AWS data stores)当中,已经介绍了一系列常规安全性概念,以及适用于AWS数据存储的对应AWS安全控制机制。以此为基础,大家可以围绕数据构建起更强大的安全态势。在系列第二篇《应用最佳实践保护Amazon RDS中的敏感数据》(Applying best practices for securing sensitive data in Amazon RDS)当中,我们介绍了如何将这些概念具体应用于Amazon RDS数据库。本文是系列文章中的第三篇,主要阐述如何在Amazon DynamoDB中实现这些安全概念。

数据分类与安全区建模

在安全保护方面,最重要的前提在于明确了解当前正在处理的数据,以及与处理相关的各项特定要求。这些要求可能源自法规规定,也可能来自组织内部规章制度。您在实际应用中可能不需要使用本文提及的某些特定安全控制方案,例如数据令牌化。总之,我们在努力提高安全性标准的同时,也应保证选择适当的控制机制以降低风险的认知难度。

在完成安全区设计之后,我们应使用网络访问控制列表(ACL)进行具体实现,后文将具体进行探讨。此步骤涉及对粗粒度网络区域进行定义,并使用安全组在各安全区之内进行更具体的微分段。

在实施安全区建模时,请认真考量您的网络设计。CIDR范围的大小,将直接决定各个子网中所能维持的IP地址数量。因此,我们需要在CIDR范围设定方面充分考虑到子网支持(更多IP地址)与子网数量的后续增长。只有在各项基本要求间取得平衡,您的Amazon VPC与本地数据中心或其他VPC之间才能始终拥有互不冲突的IP地址空间。关于更多详细信息,请参阅AWS单一VPC设计指南

点击查看原文>

本文链接:https://blog.jnliok.com/post/WeEHcAN2YJl5NqtBYDHF.html

-- EOF --

Comments