저장된 데이터 암호화 전송 중 암호화 키 및 보안 암호 관리 인터네트워크 트래픽 개인 정보

Amazon EVS의 데이터 보호

AWS 공동 책임 모델은 Amazon Elastic VMware Service의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든 AWS 클라우드를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. VMware Cloud Foundation(VCF) 구성 요소를 포함하여이 인프라에서 호스팅되는 콘텐츠에 대한 제어를 유지할 책임은 사용자에게 있습니다. 또한 사용하는의 보안 구성 및 관리 작업에 대한 책임이 AWS 서비스 있습니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQ를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 보안 블로그의 AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하세요.

데이터 보호를 위해 자격 AWS 계정 증명을 보호하고 AWS IAM Identity Center 또는를 사용하여 개별 사용자를 설정하는 것이 좋습니다 AWS Identity and Access Management. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

각 계정에 다중 인증(MFA)을 사용합니다.
SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 AWS CloudTrail 사용 설명서의 CloudTrail 추적 작업을 참조하세요.

참고
Amazon EVS는 VCF 환경 내 활동과 같은 비AWS 구성 요소에 대한 사용자 활동을 로깅하지 않습니다. 이러한 활동은 vSphere 및 NSX Manager와 같은 다양한 VMware 콘솔에 기록됩니다. 중앙 집중식 VCF 로깅을 원하는 경우 VMware Aria Operations 또는 VMware Tanzu Observability와 같은 VCF 모니터링 솔루션을 구성하여이 결과를 얻을 수 있습니다. 자세한 내용은 VCF 설명서의 VMware Cloud Foundation with VMware Tanzu 및 VMware Aria Suite Lifecyle in VMware Cloud Foundation 모드를 참조하세요.
내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
와 같은 고급 관리형 보안 서비스를 사용하면 Amazon Macie에 저장된 민감한 데이터를 검색하고 보호할 수 있습니다 Amazon S3.
명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 연방 정보 처리 표준(FIPS) 140-3을 참조하세요.

고객의 이메일 주소와 같은 민감한 식별 정보를 태그 또는 이름 필드와 같은 자유 형식 텍스트 필드에 절대 입력하지 않는 것이 좋습니다. 여기에는 Amazon EVS 또는 기타에서 콘솔 AWS CLI, API 또는 AWS SDKs를 AWS 서비스 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 보안 인증 정보를 URL에 포함시켜서는 안 됩니다.

저장된 데이터 암호화

Amazon EVS는 인스턴스 스토어 볼륨에 저장된 데이터에 대해 기본적으로 투명한 AES-256 암호화를 사용하는 i4i.metal EC2 인스턴스를 배포합니다. AES-256 Amazon EVS는 현재 EBS 부팅 볼륨 암호화를 지원하지 않습니다.

Amazon EBS 부팅 볼륨

Amazon EVS i4i.metal 인스턴스는 Amazon EBS 부팅 볼륨을 사용합니다. 부팅 볼륨에는 EC2 인스턴스를 부팅하고 실행하는 데 필요한 운영 체제 및 기타 파일이 포함되어 있습니다. 부팅 볼륨은 암호화되지 않습니다. Amazon EVS는 현재 부팅 볼륨 암호화를 지원하지 않습니다. 부팅 볼륨에는 가상 머신의 사용자 데이터가 포함되지 않습니다.

인스턴스 저장소 볼륨

Amazon EVS i4i.metal EC2 인스턴스는 인스턴스 하드웨어의 일부인 로컬 NVMe SSD 스토리지와 함께 제공됩니다. Amazon EVS는 NVMe 인스턴스 스토어 볼륨을 vSAN 데이터 스토어의 디스크로 사용합니다. vSAN 데이터 스토어는 Amazon EVS 환경을 배포한 후 관리 및 워크로드 가상 머신을 보관합니다.

인스턴스의 하드웨어 모듈에 구현된 XTS-AES-256 암호를 사용하여 NVMe 인스턴스 저장소 볼륨의 데이터를 암호화합니다. 로컬로 연결된 NVMe 스토리지 디바이스에 기록된 데이터를 암호화하는 데 사용되는 키는 고객별 및 볼륨별입니다. 자세한 내용은 Amazon EC2 사용 설명서의 저장된 암호화를 참조하세요.

Amazon EVS 환경을 배포한 후 vSAN data-at-rest 스토어에 저장된 모든 데이터, 개별 가상 머신(VMs) 또는 VMs. 이 세분화된 제어는 일부 VMs 필요하지만 다른 VM에는 필요하지 않거나 VM 내의 특정 디스크 또는 파일을 암호화해야 할 때 유용할 수 있습니다. 자세한 내용은 VMware vSAN 설명서의 vSAN Data-At-Rest Encryption 작동 방식을 참조하세요.

전송 중 암호화

Amazon EVS는 기본적으로 전송 중 트래픽을 암호화하지 않습니다. Amazon EVS를 통과하는 전송 중 데이터를 암호화하려면 TLS(전송 계층 보안)와 같은 프로토콜을 사용하여 애플리케이션 계층 암호화를 사용할 수 있습니다. EC2 인스턴스 트래픽 암호화에 대한 자세한 내용은 Amazon EC2 사용 설명서의 전송 중 암호화를 참조하세요.

참고

Nitro 네트워크 암호화는 Amazon EVS가 배포하는 EC2 인스턴스에는 적용되지 않습니다. Amazon EVS는 호스트 간 트래픽의 전송 중 암호화를 지원하지 않습니다.

온프레미스 연결을 위한 전송 중 암호화 옵션

온프레미스 데이터 센터와 Amazon EVS 간의 트래픽을 암호화하기 위해 AWS Direct Connect 및 AWS Site-To-Site VPN 사용을 AWS Transit Gateway와 결합할 수 있습니다. 이 조합은 IPsec으로 암호화된 프라이빗 연결을 제공하여 네트워크 비용을 줄이고, 대역폭 처리량을 늘리고, 인터넷 기반 VPN 연결보다 더 일관된 네트워크 환경을 제공합니다. 자세한 내용은 AWS Direct Connect를 사용하는 프라이빗 IP AWS Site-to-Site VPN을 참조하세요.

참고

Amazon EVS는 AWS Direct Connect 프라이빗 가상 인터페이스(VIF) 또는 언더레이 VPC로 직접 종료되는 AWS Site-to-Site VPN 연결을 통한 연결을 지원하지 않습니다. Amazon EVS는 NSX Edge Tier-0 또는 Tier-1 게이트웨이에서 IPSec VPN 종료를 지원합니다. 자세한 내용은 VMware NSX 설명서의 NSX IPSec VPN 서비스 추가를 참조하세요.

MAC 보안(MACsec)은 데이터 기밀성, 데이터 무결성 및 데이터 원본 인증을 제공하는 IEEE 표준입니다. MACsec을 지원하는 AWS Direct Connect 연결을 사용하여 회사 데이터 센터에서 AWS Direct Connect 위치로 데이터를 암호화할 수 있습니다. 자세한 내용은 AWS Direct Connect 사용 설명서의 Direct Connect의 MAC 보안을 참조하세요. AWS

VMware 네트워크 데이터에 대한 전송 중 암호화

Amazon EVS 환경을 배포한 후에는 VMware VCF 계층에서 전송 중 데이터 암호화를 적용하는 여러 옵션이 있습니다.

VMware vDefend 분산 방화벽 - 세분화된 네트워크 세분화를 구현하고 가상 머신 간에 TLS/SSL 암호화를 적용할 수 있습니다. 자세한 내용은 VMware VCF 설명서의 사용자 인터페이스를 사용하여 분산 방화벽의 보안 설정 구성을 참조하세요.
vSAN data-in-transit 암호화 - vSAN 클러스터의 호스트 간에 모든 데이터와 메타데이터를 암호화하는 데 사용할 수 있습니다. 자세한 내용은 VMware vSAN 설명서의 vSAN Data-In-Transit 암호화를 참조하세요.
암호화된 vSphere vMotion - vSphere vMotion으로 전송되는 데이터의 기밀성, 무결성 및 신뢰성을 보호합니다. 자세한 내용은 vSphere 설명서의 암호화된 vSphere vMotion이란 무엇입니까?를 참조하세요. vSphere

키 및 보안 암호 관리

Amazon EVS 환경 배포 중에 Amazon EVS는 AWS Secrets Manager를 사용하여 VMware VCF 관리 어플라이언스를 설치하고 액세스하는 데 필요한 VCF 자격 증명과 ESX 루트 암호가 포함된 보안 암호를 생성, 암호화 및 저장합니다. 또한 Amazon EVS는 EVS 환경이 삭제될 때 사용자를 대신하여 관리형 보안 암호를 삭제합니다. 자세한 내용은 Secrets Manager 사용 설명서의 Secrets Manager 보안 암호의 내용을 참조하세요 AWS .

Secrets Manager는 AWS KMS 키 및 데이터 키와 함께 봉투 암호화를 사용하여 각 보안 암호 값을 보호합니다. 다르게 지정하지 않는 한 Secrets Manager의 기본 AWS 관리형 키가 사용됩니다. 또는 환경 생성 중에 고객 관리형 키를 지정하여 보안 암호를 암호화할 수 있습니다. 자세한 내용은 Secrets Manager 사용 설명서의 AWS Secrets Manager의 보안 암호 암호화 및 복호화를 참조하세요. AWS

참고

고객 관리형 키에는 추가 사용 요금이 부과됩니다. 기본 AWS 관리형 키는 무료로 제공됩니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 요금을 참조하세요.

Amazon EVS는 배포 후 AWS Secrets Manager와 VCF 소프트웨어 간에 자격 증명을 동기화하지 않습니다. 사용자는 VCF 암호 만료 및 VCF 소프트웨어에 대한 액세스 손실을 방지하기 위해 Amazon EVS 환경과 연결된 보안 암호가 SDDC Manager의 자격 증명과 동기화되도록 할 책임이 있습니다.

Amazon EVS는 사용자를 대신하여 보안 암호를 교체하지 않습니다. 환경과 연결된 보안 암호를 교체하는 것은 사용자의 책임입니다. 환경이 생성되는 즉시 보안 암호를 교체하고 교체 일정을 구현하여 보안 암호를 정기적으로 업데이트하는 것이 좋습니다. AWS Secrets Manager 보안 암호 교체에 대한 자세한 내용은 Secrets Manager 사용 설명서의 Lambda 함수에 의한 교체를 참조하세요. AWS VCF 암호 관리에 대한 자세한 내용은 VMware Cloud Foundation 설명서의 암호 관리를 참조하세요.

중요

Amazon EVS는 배포 후 AWS Secrets Manager와 VCF 소프트웨어 간에 자격 증명을 동기화하지 않습니다. 배포 후 AWS Secrets Manager를 사용하는 경우 VCF 암호 만료 문제를 방지하려면 AWS Secrets Manager와 SDDC Manager 간의 자격 증명을 동기화된 상태로 유지해야 합니다. SDDC Manager 자격 증명을 최신 상태로 유지하지 않으면 VCF 소프트웨어에 대한 액세스 권한이 손실될 수 있습니다.

참고

Amazon EVS는 보안 암호의 관리형 교체를 제공하지 않습니다.

참고

AWS Secrets Manager 보안 암호 교체를 위해 Lambda 함수를 사용하는 데는 비용이 발생합니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 요금을 참조하세요.

인터네트워크 트래픽 개인 정보

Amazon EVS는 고객 제공 VPC를 사용하여 Amazon EVS 환경의 리소스 간에 경계를 생성하고 리소스, 온프레미스 네트워크 및 인터넷 간의 트래픽을 제어합니다. Amazon VPC 보안에 대한 자세한 내용은 Amazon VPC 사용 설명서의 에서 인터넷 작업 트래픽 개인 정보 보호 보장 Amazon VPC을 참조하세요.

기본적으로 Amazon EVS는 환경 생성 중에 직접 인터넷 액세스를 거부하는 프라이빗 VLAN 서브넷을 생성합니다. VPC에 다른 보안 계층을 추가하려면 인터넷 연결을 추가로 제한하는 규칙을 사용하여 VPC에 대한 사용자 지정 네트워크 액세스 제어 목록을 생성할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC용 네트워크 ACL 생성을 참조하세요.

중요

EC2 보안 그룹은 Amazon EVS VLAN 서브넷에 연결된 탄력적 네트워크 인터페이스에서 작동하지 않습니다. Amazon EVS VLAN 서브넷과 주고받는 트래픽을 제어하려면 네트워크 액세스 제어 목록을 사용해야 합니다.

NSX 관리자인 경우 네트워크 트래픽을 보호하도록 다음 NSX 기능을 구성할 수 있습니다.

VMware vDefend Gateway 방화벽 - 네트워크 경계를 보호하여 외부 위협(북남 트래픽)으로부터 보호합니다. 자세한 내용은 VMware NSX 설명서의 게이트웨이 방화벽 정책 및 규칙 추가를 참조하세요.
VMware vDefend 분산 방화벽 - 내부 네트워크(동서 트래픽) 내에서 발생하는 공격으로부터 보호합니다. 자세한 내용은 VMware NSX 설명서의 분산 방화벽 추가를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보안

ID 및 액세스 관리