Что такое encryption at rest и encryption in transit?

Encryption at rest — данные зашифрованы на диске: EBS тома через AWS KMS, S3 SSE-S3/SSE-KMS, RDS через TDE. Даже если диск украден — данные нечитаемы. Encryption in transit — шифрование данных при передаче по сети: TLS/HTTPS для API и веб, mTLS для service-to-service, VPN для on-prem соединений. В AWS data in transit между сервисами в одном регионе шифруется автоматически. Оба типа шифрования обязательны для PCI-DSS, HIPAA и большинства compliance стандартов.