本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性
VMware 通过 vCenter 基于角色的访问控制、vSAN 加密、虚拟机级别的安全策略以及与企业身份系统的集成来实现安全。 AWS 坚持责任共担模式,为存储服务提供集成的安全层。
AWS 通过 AWS Identity and Access Management (IAM)、静态和传输中的加密、VPC 网络隔离以及通过 AWS CloudTrail 和 Amazon 进行自动监控来管理安全 GuardDuty。 AWS 通过 IAM 策略和基于资源的策略提供资源级访问控制,通过托管加密密钥以及可 AWS KMS根据基础设施变化自动扩展的实时威胁检测。
下表汇总了和的安全配置 VMware和特征 AWS。
|
|
| 方面 | VMware | AWS |
| --- |--- |--- |
| 访问控制 | 基于角色的访问控制 (RBAC) vSphere 权限 | ACLs S3 存储桶策略 IAM 安全组 |
| 加密 | 外部密钥管理服务器集成 虚拟机管理程序级别的虚拟机加密 vSAN 数据存储加密 | EBS 卷加密 EFS 加密(静态和传输中) AWS KMS 整合 S3 服务器端加密 (SSE) |
| 安全监控和审计 | 第三方安全信息和事件管理 (SIEM) 集成 vCenter/ 事件ESXi 日志 vRealize 日志洞察 vSAN 审核日志 | GuardDuty 威胁检测 S3 访问日志 CloudTrail AWS Config |
| 数据保护 | 关键系统文件限制 禁用不必要的服务 安全补丁 虚拟机强化 | 阻止 S3 公开访问 传输中的加密 (SSL/TLS) 多重身份验证 VPC 端点 |
下表详细比较了 VMware 和 AWS 环境之间的安全实现,重点是访问控制、加密、监控和数据保护方法。
|
|
| 方面 | VMware | AWS |
| --- |--- |--- |
| 访问控制 | 通过 RBAC 实现传统的分层安全,管理员可以在 vSphere 中定义用户权限和角色。这允许精细控制谁可以访问特定的数据存储并执行与存储相关的操作。 | 使用 IAM 实施全面的方法,通过策略和角色提供精细的访问控制。存储桶策略和安全组的组合提供了多层访问控制,使其更加灵活和可扩展 VMware。 ACLs |
| 加密 | 依赖虚拟机管理程序级别的加密和 VMs vSAN 数据存储,需要与外部密钥管理服务器集成。这种方法提供了强大的安全性,但需要手动配置和管理。 | 为所有存储服务提供内置加密功能。 AWS 提供加密选项,包括 S3 的服务器端加密、EBS 卷和密钥 AWS KMS 管理集成。 |
| 监控和审计 | 使用 vCenter 并通过 Aria Operation ESXi s for Logs 对其进行记录和整合,并能够集成第三方 SIEM 工具以增强监控。这提供了传统的数据中心监控和审计功能。 | 通过原生服务提供全面监控, CloudTrail 例如 API 活动跟踪、 GuardDuty 威胁检测和 AWS Config 配置监控。这些服务提供自动化的实时监控和警报功能。 |
| 数据保护 | VMware 遵循传统的安全方法,通过强化实践和系统级安全控制来专注于虚拟机级别的保护。 | 实施多层保护,包括网络级控制(VPC 端点)、传输级安全(SSL/TLS)以及 S3 阻止公共访问等其他功能。 |
## 特定于服务的安全性
**Amazon EBS 加密 —** AWS 为处于静态状态以及卷和实例之间传输的 Amazon EBS 卷提供透明加密。Amazon EBS 卷支持多种配置,包括独立设置和 RAID 设置,能够通过快照进行跨可用区迁移,并且无需实例停机即可动态调整大小。
**Amazon S3 安全 —** Amazon S3 使用服务器端加密选项强制加密,例如 SSE-S3(AWS 托管密钥)、SSE-KMS(客户管理的密钥)和 SSE-C(客户提供的密钥)。访问控制包括存储桶策略和公共访问屏蔽 ACLs,以防止未经授权的泄露。
**Amazon EFS 安全 —** Amazon EFS 为静态和传输中的数据提供加密,访问控制通过 IAM 策略和 VPC 安全组进行管理,以限制授权用户和服务访问文件系统。