Phát biểu nào về mã hóa dữ liệu trong AWS là đúng? (Chọn HAI đáp án.)

1 / 1
Chọn tất cả các đáp án đúng
ĐúngA, D

Giải thích

Tóm tắt câu hỏi

Câu hỏi về việc chọn HAI phát biểu đúng về mã hóa trong AWS.

Điều kiện cần thỏa
  • 1mã hóa dữ liệu trong AWSCâu hỏi kiểm tra khả năng phân biệt chính xác ba vai trò: KMS để quản lý khóa, mã hóa khi lưu trữ để bảo vệ dữ liệu được lưu và mã hóa khi truyền để bảo vệ dữ liệu đang di chuyển.
Giải thích từng lựa chọn
AĐúng

AWS KMS cho phép tạo, quản lý và kiểm soát tập trung các khóa mã hóa cũng như quyền truy cập vào chúng.

Đúng. AWS KMS (Key Management Service) là dịch vụ được quản lý xử lý tập trung việc tạo, lưu trữ và xoay vòng (thay thế khóa định kỳ) các khóa mã hóa được sử dụng để mã hóa dữ liệu. Dịch vụ này cho phép kiểm soát quyền truy cập về việc ai có thể sử dụng khóa nào thông qua IAM và chính sách khóa, và cho phép kiểm toán khi nào và bởi ai khóa được sử dụng thông qua CloudTrail. Nhiều dịch vụ AWS—bao gồm S3 và EBS—sử dụng khóa KMS để mã hóa.

BSai

Bật mã hóa khi lưu trữ (at rest) cho S3 cũng tự động mã hóa dữ liệu khi truyền.

Mã hóa khi lưu trữ (như SSE) chỉ bảo vệ dữ liệu được lưu trên đĩa.

Bảo vệ kênh truyền thông là mối quan tâm riêng biệt được xử lý bằng mã hóa khi truyền qua TLS (HTTPS). Bật mã hóa khi lưu trữ không tự động bao gồm dữ liệu khi truyền, vì vậy không chính xác.

CSai

Vì AWS quản lý các khóa KMS, khách hàng không thể kiểm soát quyền truy cập vào chúng.

Với AWS KMS, chính khách hàng kiểm soát ai có thể sử dụng khóa nào thông qua chính sách khóa và chính sách IAM.

Tuyên bố rằng 'AWS quản lý nên khách hàng không thể kiểm soát' mâu thuẫn với chức năng cốt lõi của KMS (tạo, quản lý và kiểm soát quyền truy cập khóa tập trung), vì vậy không chính xác.

DĐúng

Mã hóa khi truyền sử dụng TLS và các giao thức tương tự để bảo vệ dữ liệu trên kênh truyền thông.

Đúng. Mã hóa khi truyền mã hóa dữ liệu trên kênh truyền thông bằng TLS/SSL để bảo vệ khỏi nghe lén và giả mạo. HTTPS là ví dụ chính.

ESai

Bật mã hóa khi lưu trữ yêu cầu thay đổi mã nguồn ở phía ứng dụng.

Với mã hóa phía máy chủ (SSE) trên các dịch vụ như S3 và EBS, AWS tự động mã hóa dữ liệu khi ghi và tự động giải mã khi đọc. Mã hóa trong suốt đối với ứng dụng—ứng dụng có thể đọc và ghi như bình thường.

Vì nó có thể được bật chỉ thông qua cấu hình, tuyên bố rằng cần thay đổi ứng dụng là không đúng.

Điểm cần nhớ

Các điểm chính về mã hóa: KMS = quản lý khóa tập trung và kiểm soát quyền truy cập (chính sách khóa); in transit = TLS bảo vệ truyền thông; at rest ≠ in transit (đối tượng khác nhau, bật riêng biệt); mã hóa phía máy chủ trong suốt và không yêu cầu thay đổi ứng dụng.

Liên kết liên quan