View a markdown version of this page

セキュリティ - AWS 規範ガイダンス
サービス固有のセキュリティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ

VMware は、vCenter のロールベースのアクセスコントロール、vSAN 暗号化、VM レベルのセキュリティポリシー、エンタープライズ ID システムとの統合を通じてセキュリティを実装します。 は、ストレージサービス全体に統合されたセキュリティレイヤーを提供する責任共有モデル AWS に従います。

AWS は、 AWS Identity and Access Management (IAM)、保管時および転送時の暗号化、VPC ネットワークの分離、 AWS CloudTrail および Amazon GuardDuty による自動モニタリングを通じてセキュリティを管理します。 は、IAM ポリシーとリソースベースのポリシー、 を介したマネージド暗号化キー AWS KMS、インフラストラクチャの変更に応じて自動的にスケールするリアルタイムの脅威検出を通じて、リソースレベルのアクセスコントロール AWS を提供します。

次の表は、VMware と のセキュリティ設定と特性をまとめたものです AWS。

側面

VMware

AWS

アクセスコントロール

  • ロールベースのアクセスコントロール (RBAC)

  • vSphere アクセス許可

  • ACL

  • S3 バケットポリシー

  • IAM

  • セキュリティグループ

Encryption

  • 外部キー管理サーバーの統合

  • ハイパーバイザーレベルでの VM 暗号化

  • vSAN データストアの暗号化

  • EBS ボリュームの暗号化

  • EFS 暗号化 (保管中および転送中)

  • AWS KMS 統合

  • S3 サーバー側の暗号化 (SSE)

セキュリティのモニタリングと監査

  • サードパーティーのセキュリティ情報とイベント管理 (SIEM) の統合

  • vCenter/ESXi イベントログ

  • vRealize ログインサイト

  • vSAN 監査ログ

  • GuardDuty 脅威検出

  • S3 アクセスログ

  • CloudTrail

  • AWS Config

データ保護

  • 重要なシステムファイルの制限

  • 不要なサービスの無効化

  • セキュリティパッチ

  • VM の強化

  • S3 パブリックアクセスのブロック

  • 転送中の暗号化 (SSL/TLS)

  • 多要素認証

  • VPC エンドポイント

次の表は、アクセスコントロール、暗号化、モニタリング、データ保護のアプローチに焦点を当てた、VMware と AWS 環境間のセキュリティ実装の詳細な比較を示しています。

側面

VMware

AWS

アクセスコントロール

RBAC を使用して従来の階層セキュリティを実装し、管理者は vSphere 内でユーザーのアクセス許可とロールを定義します。これにより、特定のデータストアにアクセスしてストレージ関連のオペレーションを実行できるユーザーをきめ細かく制御できます。

IAM を使用して包括的なアプローチを実装し、ポリシーとロールを通じてきめ細かなアクセスコントロールを提供します。バケットポリシー、ACLs、およびセキュリティグループの組み合わせは、アクセスコントロールのレイヤーを提供するため、VMware よりも柔軟でスケーラブルです。

Encryption

VMs および vSAN データストアのハイパーバイザーレベルの暗号化に依存しているため、外部キー管理サーバーとの統合が必要です。このアプローチは強力なセキュリティを提供しますが、手動の設定と管理が必要です。

すべてのストレージサービスに組み込みの暗号化機能を提供します。 AWS は、S3 のサーバー側の暗号化、EBS ボリューム、キー管理 AWS KMS の統合などの暗号化オプションを提供します。

モニタリングと監査

vCenter と ESXi ログを使用し、Aria Operations for Logs を通じて統合し、サードパーティーの SIEM ツールを統合してモニタリングを強化します。これにより、従来のデータセンターのモニタリングおよび監査機能が提供されます。

API アクティビティ追跡用の CloudTrail、脅威検出用の GuardDuty、設定モニタリング AWS Config 用の などのネイティブサービスを通じて包括的なモニタリングを提供します。これらのサービスは、自動化されたリアルタイムのモニタリングおよびアラート機能を提供します。

データ保護

VMware は、従来のセキュリティアプローチに従って、強化されたプラクティスとシステムレベルのセキュリティコントロールを通じて VM レベルの保護に焦点を当てています。

ネットワークレベルのコントロール (VPC エンドポイント)、トランスポートレベルのセキュリティ (SSL/TLS)、S3 ブロックパブリックアクセスなどの追加機能を含む保護レイヤーを実装します。

サービス固有のセキュリティ

Amazon EBS 暗号化 – AWS ボリュームとインスタンス間で保管中および転送中の Amazon EBS ボリュームに対して透過的な暗号化を提供します。Amazon EBS ボリュームは、スタンドアロンおよび RAID セットアップを含む複数の設定をサポートし、スナップショットを介したクロス AZ 移行や、インスタンスのダウンタイムなしでの動的サイズ変更の機能を備えています。

Amazon S3 セキュリティ – Amazon S3 は、SSE-S3 (AWS マネージドキー)、SSE-KMS (カスタマーマネージドキー)、SSE-C (カスタマー提供のキー) などのサーバー側の暗号化オプションを使用して暗号化を適用します。アクセスコントロールには、不正な公開を防ぐためのバケットポリシー、ACLs、パブリックアクセスブロックが含まれます。

Amazon EFS セキュリティ – Amazon EFS は、保管中および転送中のデータの暗号化を提供します。アクセスコントロールは IAM ポリシーと VPC セキュリティグループを通じて管理され、ファイルシステムへのアクセスを承認されたユーザーとサービスに制限します。