Skip to main content

Data protection

ก่อนที่จะออกแบบสถาปัตยกรรมระบบใดๆ ควรมีการวางแนวปฏิบัติพื้นฐานที่มีผลต่อความมั่นคงปลอดภัยไว้ก่อน ตัวอย่างเช่น การจัดหมวดหมู่ข้อมูล (Data classification) ช่วยให้สามารถแบ่งประเภทข้อมูลขององค์กรตามระดับความสำคัญและความละเอียดอ่อน และการเข้ารหัส (Encryption) จะปกป้องข้อมูลโดยการทำให้ข้อมูลนั้นไม่สามารถอ่านเข้าใจได้สำหรับผู้ที่ไม่มีสิทธิ์เข้าถึง เครื่องมือและเทคนิคเหล่านี้มีความสำคัญเนื่องจากช่วยสนับสนุนวัตถุประสงค์ต่างๆ เช่น การป้องกันความสูญเสียทางการเงิน หรือการปฏิบัติตามข้อกำหนดทางกฎหมายและระเบียบข้อบังคับ

ใน AWS มีแนวปฏิบัติที่ช่วยอำนวยความสะดวกในการปกป้องข้อมูลดังนี้:

  • ในฐานะลูกค้าของ AWS คุณยังคงมีอำนาจควบคุมข้อมูลของคุณได้อย่างเต็มที่

  • AWS ช่วยให้คุณเข้ารหัสข้อมูลและจัดการกุญแจเข้ารหัส (Keys) ได้ง่ายขึ้น รวมถึงการหมุนเวียนกุญแจ (Key rotation) เป็นประจำ ซึ่งสามารถตั้งค่าให้ AWS ทำโดยอัตโนมัติหรือคุณจะเป็นผู้ดูแลเองก็ได้

  • มีระบบการบันทึก Log อย่างละเอียดซึ่งมีเนื้อหาสำคัญ เช่น การเข้าถึงไฟล์และการเปลี่ยนแปลงข้อมูล

  • AWS ออกแบบระบบจัดเก็บข้อมูลให้มีความยืดหยุ่นสูง (Resiliency) ตัวอย่างเช่น Amazon S3 Standard, S3 Standard–IA, S3 One Zone-IA และ Amazon Glacier ทั้งหมดถูกออกแบบมาให้มีความคงทนของข้อมูล (Durability) สูงถึง 99.999999999% ในแต่ละปี ซึ่งระดับความคงทนนี้เทียบเท่ากับโอกาสการสูญเสียข้อมูลเฉลี่ยต่อปีเพียง 0.000000001% เท่านั้น

  • การจัดเก็บเวอร์ชันของข้อมูล (Versioning) ซึ่งสามารถเป็นส่วนหนึ่งของกระบวนการจัดการวงจรชีวิตข้อมูลที่ใหญ่ขึ้น สามารถช่วยป้องกันการเขียนทับโดยไม่ตั้งใจ การลบข้อมูล และความเสียหายในลักษณะที่คล้ายกันได้

  • AWS จะไม่มีการเริ่มเคลื่อนย้ายข้อมูลข้ามภูมิภาค (Regions) ด้วยตนเอง เนื้อหาที่ถูกจัดเก็บไว้ในภูมิภาคใดภูมิภาคหนึ่งจะคงอยู่ในภูมิภาคนั้น เว้นแต่คุณจะเลือกใช้ฟีเจอร์หรือบริการที่ระบุฟังก์ชันการทำงานดังกล่าวโดยเฉพาะ

คำถามต่อไปนี้จะเน้นที่การพิจารณาด้านความมั่นคงปลอดภัย:

  • SEC 7: คุณจัดหมวดหมู่ข้อมูลของคุณอย่างไร? การจัดหมวดหมู่ช่วยให้สามารถแบ่งประเภทข้อมูลตามความสำคัญและความละเอียดอ่อน เพื่อช่วยให้คุณกำหนดการควบคุมการปกป้องและการเก็บรักษาข้อมูลที่เหมาะสม

  • SEC 8: คุณปกป้องข้อมูลขณะจัดเก็บ (Data at rest) อย่างไร? ปกป้องข้อมูลขณะจัดเก็บโดยใช้การควบคุมหลายรูปแบบ เพื่อลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการจัดการข้อมูลที่ผิดพลาด

  • SEC 9: คุณปกป้องข้อมูลขณะรับส่ง (Data in transit) อย่างไร? ปกป้องข้อมูลขณะรับส่งโดยใช้การควบคุมหลายรูปแบบ เพื่อลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการสูญหายของข้อมูล

AWS มีวิธีการที่หลากหลายสำหรับการเข้ารหัสข้อมูลทั้งในขณะจัดเก็บและขณะรับส่ง เราได้สร้างฟีเจอร์ต่างๆ ไว้ในบริการของเราเพื่อให้คุณเข้ารหัสข้อมูลได้ง่ายขึ้น ตัวอย่างเช่น เราได้ใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (Server-side encryption - SSE) สำหรับ Amazon S3 เพื่อให้คุณจัดเก็บข้อมูลในรูปแบบที่เข้ารหัสได้ง่ายขึ้น นอกจากนี้ คุณยังสามารถจัดการให้กระบวนการเข้ารหัสและถอดรหัส HTTPS ทั้งหมด (หรือที่เรียกว่า SSL termination) ถูกจัดการโดย Elastic Load Balancing (ELB) ได้