Criptografia AWS DataSync em trânsito - AWS DataSync
Conexões de rede em uma transferênciaCifras TLS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia AWS DataSync em trânsito

Seus dados de armazenamento (incluindo metadados) são criptografados em trânsito, mas a forma como são criptografados durante a transferência depende dos seus locais de origem e destino.

Ao se conectar a um local, o DataSync usa as opções mais seguras fornecidas pelo protocolo de acesso a dados desse local. Por exemplo, ao se conectar a um sistema de arquivos usando o Server Message Block (SMB), o DataSync usa os recursos de segurança fornecidos pelo SMB.

Conexões de rede em uma transferência

O DataSync requer três conexões de rede para copiar dados: uma conexão para ler dados de um local de origem, outra para transferir dados entre locais e outra para gravar dados em um local de destino.

O diagrama a seguir é um exemplo das conexões de rede que o DataSync usa para transferir dados de um sistema de armazenamento on-premises para um serviço de armazenamento da AWS. Para entender onde as conexões acontecem e como os dados são protegidos enquanto passam por cada conexão, use a tabela associada.

A primeira conexão é para comunicação com o local de armazenamento de origem. A segunda conexão é para transferência entre locais. A terceira e última conexão é com o local de armazenamento de destino.
Referência Conexões de rede Descrição
1 Leitura de dados do local de origem O DataSync se conecta usando o protocolo do sistema de armazenamento para acessar dados (por exemplo, SMB ou a API do Amazon S3). Para essa conexão, os dados são protegidos usando os recursos de segurança do sistema de armazenamento, a menos que o DataSync não seja compatível com esses recursos. Por exemplo, o DataSync atualmente não oferece suporte à autenticação Kerberos com servidores de arquivos NFS ou ao usar criptografia TDE com HDFS.
2 Transferência de dados entre locais Para esta conexão, o DataSync criptografa todo o tráfego de rede com Transport Layer Security (mTLS) 1.3 mútuo.
3 Gravação de dados no local de destino Como ocorre com o local de origem, o DataSync se conecta usando o protocolo do sistema de armazenamento para acessar os dados. Novamente, os dados são protegidos usando os recursos de segurança do sistema de armazenamento, a menos que o DataSync não seja compatível com esses recursos.

Saiba como seus dados são criptografados em trânsito quando o DataSync se conecta aos seguintes serviços de armazenamento da AWS:

Cifras TLS

Ao transferir dados entre locais, o DataSync usa cifras TLS diferentes. A cifra TLS depende do tipo de endpoint de serviço que o agente usa para se comunicar com o DataSync. (Para ter mais informações, consulte Escolha de um endpoint de serviço para o agente do AWS DataSync.)

Endpoints públicos ou da VPC

Para endpoints de serviço da nuvem privada virtual (VPC) e da nuvem privada pública, o DataSync usa uma das seguintes cifras TLS:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519)

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519)

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519)

Endpoints do FIPS

Para endpoints de serviço FIPS (Federal Information Processing Standard), o DataSync usa uma das seguintes cifras TLS:

  • TLS_AES_128_GCM_SHA256 (secp256r1)