Data at Rest 静态数据
当前不被访问、躺在某个存储里的数据。
数据有三种状态,这是其中之一。和 in transit、in use 配套出现。
在哪里
- 硬盘、SSD
- 数据库文件
- 备份磁带、归档存储
- 云对象存储(S3、R2)
- USB、外置硬盘
怎么保护
| 手段 | 解决什么 |
|---|---|
| 全盘加密(BitLocker、FileVault、LUKS) | 笔记本丢了别人也读不到 |
| 数据库列级加密 | DBA 都看不到敏感字段 |
| 对象存储 SSE | 云厂商替你加密 |
| 最小权限 + IAM | 控制谁能拿到 |
| 物理安全 | 机房门禁、磁带销毁 |
为什么单独讲
静态数据的威胁模型和传输中的不一样——攻击者不是中间人,而是直接接触存储的人:偷电脑的、入侵数据库的、内鬼拷贝磁带的。所以重点在加密 + 访问控制,而不是 TLS。