AWS Site-to-Site VPN のデータ保護

AWS 責任共有モデルは、AWS Site-to-Site VPN のデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を担います。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、「AWS セキュリティブログ」に投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM Identity Center」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK によって Site-to-Site VPN や他の AWS のサービス を使用する場合も同様です。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

ネットワーク間のトラフィックのプライバシー

Site-to-Site VPN 接続は、VPC をオンプレミスネットワークにプライベートに接続します。お客様の VPC とネットワーク間で転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。Amazon は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。IPsec は、データストリームの各 IP パケットを認証して暗号化することによって、安全に IP 通信を行うためのプロトコルです。

各 Site-to-Site VPN 接続は、AWS とお客様のネットワークをリンクする 2 つの暗号化された IPsec VPN トンネルで構成されます。各トンネルのトラフィックでは、暗号化に AES128 あるいは AES256 を、キー交換に Diffie-Hellman グループを使用することで、Perfect Forward Secrecy を提供しています。AWS は SHA1 または SHA2 ハッシュ関数で認証します。

VPC のインスタンスでは、Site-to-Site VPN 接続の反対側のリソースに接続するためのパブリック IP アドレスは必要ありません。インスタンスは、Site-to-Site VPN 接続を介してインターネットトラフィックをオンプレミスネットワークにルーティングできます。その後、既存のアウトバウンドトラフィックポイントとネットワークセキュリティおよびモニタリングデバイスを介してインターネットにアクセスできます。

詳細については、以下のトピックを参照してください: