Crittografia dei dati a riposo Crittografia dei dati in transito Gestione delle chiavi e dei segreti Riservatezza del traffico Internet

Protezione dei dati in Amazon EVS

Il modello di responsabilitàAWS condivisa si applica alla protezione dei dati in Amazon Elastic VMware Service. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il AWS cloud. L'utente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura, inclusi i componenti di VMware Cloud Foundation (VCF). Sei inoltre responsabile delle attività di configurazione e gestione della sicurezza relative ai file Servizi AWS che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta Domande frequenti sulla privacy dei dati. Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog Modello di responsabilità condivisa di AWS e GDPR sul Blog della sicurezza di AWS .

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management. In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

Utilizza l’autenticazione a più fattori (MFA) con ogni account.
SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l' AWS CloudTrail utente.

Nota
Amazon EVS non registra le attività degli utenti per elementi non AWS componenti, ad esempio le attività all'interno dell'ambiente VCF. Queste attività vengono registrate in varie VMware console come vSphere e NSX Manager. Se si desidera una registrazione VCF centralizzata, è possibile configurare soluzioni di monitoraggio VCF come VMware Aria Operations o Tanzu Observability per ottenere questo risultato. VMware Per ulteriori informazioni, consulta VMware Cloud Foundation con VMware Tanzu e VMware Aria Suite Lifecyle in modalità Cloud Foundation nella documentazione VCF. VMware
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno. Servizi AWS
Utilizza servizi di sicurezza gestiti avanzati come Amazon Macie, che aiutano a scoprire e proteggere i dati sensibili archiviati in. Amazon S3
Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo vivamente di non inserire mai informazioni identificative sensibili, come gli indirizzi e-mail dei tuoi clienti, nei tag o nei campi di testo in formato libero come il campo Nome. Ciò include quando lavori con Amazon EVS o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Crittografia dei dati a riposo

Amazon EVS distribuisce EC2 istanze i4i.metal che utilizzano la crittografia AES-256 trasparente per impostazione predefinita per i dati archiviati nel volume dell'instance store. Amazon EVS non supporta al momento la crittografia del volume di avvio EBS.

Volume di avvio di Amazon EBS

Le istanze i4i.metal di Amazon EVS utilizzano un volume di avvio Amazon EBS. Il volume di avvio contiene il sistema operativo e altri file necessari per l'avvio e l'esecuzione dell' EC2 istanza. Il volume di avvio non è crittografato. Al momento Amazon EVS non supporta la crittografia dei volumi di avvio. Il volume di avvio non contiene dati utente provenienti dalle macchine virtuali.

Volume di instance store

Le EC2 istanze i4i.metal di Amazon EVS sono dotate di storage NVMe SSD locale, che fa parte dell'hardware dell'istanza. Amazon EVS utilizza i volumi di NVMe instance store come dischi per i datastore vSAN. Il datastore vSAN contiene le macchine virtuali di gestione e carico di lavoro dopo la distribuzione dell'ambiente Amazon EVS.

I dati sui volumi dell' NVMe Instance Store vengono crittografati utilizzando un codice XTS-AES-256, implementato su un modulo hardware sull'istanza. Le chiavi utilizzate per crittografare i dati scritti su dispositivi di storage collegati localmente sono per cliente e per volume NVMe . Per ulteriori informazioni, consulta Encryption at rest nella Amazon EC2 User Guide.

Dopo aver distribuito l'ambiente Amazon EVS, puoi abilitare la data-at-rest crittografia vSAN per tutti i dati archiviati nel datastore vSAN, per singole macchine virtuali () VMs o per singoli file all'interno. VMs Questo controllo granulare può essere utile quando alcuni VMs richiedono la crittografia mentre altri no, o quando è necessario crittografare dischi o file specifici all'interno di una macchina virtuale. Per ulteriori informazioni, vedere How vSAN Data-At-Rest Encryption Works nella documentazione di vSAN VMware .

Crittografia dei dati in transito

Amazon EVS non crittografa il traffico in transito per impostazione predefinita. Per crittografare i dati in transito che attraversano Amazon EVS, puoi utilizzare la crittografia a livello di applicazione con un protocollo come Transport Layer Security (TLS). Per ulteriori informazioni sulla crittografia del traffico delle EC2 istanze, consulta Encryption in Transit nella Amazon EC2 User Guide.

Nota

La crittografia di rete Nitro non si applica alle EC2 istanze distribuite da Amazon EVS. Amazon EVS non supporta la crittografia in transito del traffico tra host.

Opzioni di crittografia in transito per la connettività locale

Per crittografare il traffico tra il tuo data center locale e Amazon EVS, puoi combinare l'uso di AWS Direct Connect e AWS Site-To-Site VPN con Transit Gateway AWS . Questa combinazione fornisce una connessione privata IPsec crittografata che riduce anche i costi di rete, aumenta la velocità di trasmissione della larghezza di banda e offre un'esperienza di rete più coerente rispetto alle connessioni VPN basate su Internet. Per ulteriori informazioni, consulta Private IP AWS Site-to-Site VPN con AWS Direct Connect.

Nota

Amazon EVS non supporta la connettività tramite un'interfaccia virtuale privata (VIF) AWS Direct Connect o tramite una connessione AWS Site-to-Site VPN che termina direttamente nel VPC sottostante. Amazon EVS supporta la terminazione IPSec VPN sul gateway NSX Edge Tier-0 o Tier-1. Per ulteriori informazioni, consulta Aggiungere un servizio VPN NSX nella documentazione di NSX IPSec . VMware

MAC Security (MACsec) è uno standard IEEE che garantisce la riservatezza dei dati, l'integrità dei dati e l'autenticità dell'origine dei dati. È possibile utilizzare connessioni AWS Direct Connect che supportano MACsec la crittografia dei dati dal data center aziendale alla posizione AWS Direct Connect. Per ulteriori informazioni, consulta la sezione Sicurezza MAC in AWS Direct Connect nella Guida per l'utente di AWS Direct Connect.

Crittografia in transito per i dati VMware di rete

Dopo l'implementazione dell'ambiente Amazon EVS, hai diverse opzioni per applicare la crittografia dei dati in transito a livello VCF: VMware

VMware vDefend Distributed Firewall: consente di implementare una segmentazione di rete dettagliata e di applicare la crittografia tra macchine virtuali. TLS/SSL Per ulteriori informazioni, vedere Configurare le impostazioni di sicurezza per il firewall distribuito utilizzando l'interfaccia utente nella documentazione VCF. VMware
data-in-transitCrittografia vSAN: può essere utilizzata per crittografare tutti i dati e i metadati tra gli host del cluster vSAN. Per ulteriori informazioni, vedere vSAN Data-In-Transit Encryption nella documentazione di vSAN VMware .
Encrypted vSphere vMotion: protegge la riservatezza, l'integrità e l'autenticità dei dati trasferiti con vSphere vMotion. Per ulteriori informazioni, vedere Cos'è Encrypted vSphere vMotion nella documentazione di vSphere.

Gestione delle chiavi e dei segreti

Durante l'implementazione dell'ambiente Amazon EVS, Amazon EVS utilizza AWS Secrets Manager per creare, crittografare e archiviare segreti che contengono le credenziali VCF necessarie per installare e accedere ai dispositivi di gestione VMware VCF, oltre alla password root ESX. Amazon EVS elimina anche i segreti gestiti per tuo conto quando l'ambiente EVS viene eliminato. Per ulteriori informazioni, consulta Cosa c'è in un segreto di Secrets Manager nella Guida per l'utente di AWS Secrets Manager.

Secrets Manager utilizza la crittografia a busta con AWS KMS chiavi e chiavi dati per proteggere ogni valore segreto. La chiave AWS gestita predefinita per Secrets Manager viene utilizzata se non diversamente specificato. In alternativa, puoi specificare una chiave gestita dal cliente durante la creazione dell'ambiente per crittografare i tuoi segreti. Per ulteriori informazioni, vedere Crittografia e decrittografia segrete in AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager.

Nota

Sono previsti costi di utilizzo aggiuntivi per le chiavi gestite dai clienti. La chiave AWS gestita predefinita viene fornita gratuitamente. Per ulteriori informazioni, consulta la sezione Prezzi nella Guida per l'utente di AWS Secrets Manager.

Amazon EVS non sincronizza le credenziali tra AWS Secrets Manager e il software VCF dopo la distribuzione. È tua responsabilità garantire che i segreti associati al tuo ambiente Amazon EVS siano mantenuti sincronizzati con le credenziali in SDDC Manager per evitare la scadenza della password VCF e la perdita di accesso al software VCF.

Amazon EVS non divulga segreti per tuo conto. Sei responsabile della rotazione dei segreti associati al tuo ambiente. Ti consigliamo vivamente di ruotare i tuoi segreti non appena l'ambiente viene creato e di implementare una pianificazione di rotazione per aggiornare i tuoi segreti a intervalli regolari. Per ulteriori informazioni sulla rotazione dei AWS segreti di Secrets Manager, vedete la funzione Rotation by Lambda nella Guida per l'utente di Secrets AWS Manager. Per ulteriori informazioni sulla gestione delle password VCF, consulta Gestione delle password nella documentazione di VMware Cloud Foundation.

Importante

Amazon EVS non sincronizza le credenziali tra AWS Secrets Manager e il software VCF dopo la distribuzione. Se si utilizza AWS Secrets Manager dopo la distribuzione, è necessario mantenere sincronizzate le credenziali tra AWS Secrets Manager e SDDC Manager per evitare problemi di scadenza della password VCF. È possibile perdere l'accesso al software VCF se le credenziali di SDDC Manager non vengono mantenute aggiornate.

Nota

Amazon EVS non fornisce una rotazione gestita dei segreti.

Nota

L'utilizzo di una funzione Lambda per la rotazione segreta di AWS Secrets Manager comporta dei costi. Per ulteriori informazioni, consulta la sezione Prezzi nella Guida per l'utente di AWS Secrets Manager.

Riservatezza del traffico Internet

Amazon EVS utilizza un VPC fornito dal cliente per creare confini tra le risorse nell'ambiente Amazon EVS e controllare il traffico tra esse, la rete locale e Internet. Per ulteriori informazioni sulla Amazon VPC sicurezza, consulta Garantire la privacy del traffico di rete nella Guida per l'utente. Amazon VPC Amazon VPC

Per impostazione predefinita, Amazon EVS crea sottoreti VLAN private durante la creazione dell'ambiente che negano l'accesso diretto a Internet. Per aggiungere un altro livello di sicurezza al tuo VPC, puoi creare un elenco di controllo degli accessi alla rete personalizzato per il tuo VPC con regole che limitano ulteriormente la connettività Internet. Per ulteriori informazioni, consulta Creare un ACL di rete per il tuo VPC nella Amazon VPC User Guide.

Importante

EC2 i gruppi di sicurezza non funzionano su interfacce di rete elastiche collegate alle sottoreti VLAN di Amazon EVS. Per controllare il traffico da e verso le sottoreti VLAN di Amazon EVS, devi utilizzare una lista di controllo degli accessi alla rete.

Se sei un amministratore NSX, puoi configurare le seguenti funzionalità di NSX per proteggere il traffico di rete:

VMware vDefend Gateway Firewall: protegge il perimetro della rete, proteggendolo dalle minacce esterne (traffico nord-sud). Per ulteriori informazioni, vedere Aggiungere una politica e una regola del gateway firewall nella documentazione di NSX. VMware
VMware vDefend Distributed Firewall: protegge dagli attacchi provenienti dall'interno di una rete interna (traffico est-ovest). Per ulteriori informazioni, vedere Aggiungere un firewall distribuito nella documentazione di NSX. VMware

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Gestione dell’identità e degli accessi