本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全
VMware 透過 vCenter 的角色型存取控制、vSAN 加密、VM 層級安全政策,以及與企業身分系統的整合來實作安全性。 AWS 遵循共同的責任模型,提供跨儲存服務整合的安全層。
AWS 透過 AWS Identity and Access Management (IAM)、靜態加密和傳輸中加密、VPC 網路隔離,以及透過 AWS CloudTrail 和 Amazon GuardDuty 自動監控。 透過 IAM 政策和以資源為基礎的政策、透過 的受管加密金鑰 AWS KMS,以及隨著基礎設施變更自動擴展的即時威脅偵測, AWS 提供資源層級存取控制。
下表摘要說明 VMware 和 的安全組態和特性 AWS。
Aspect |
VMware |
AWS |
|---|---|---|
存取控制 |
|
|
加密 |
|
|
安全性監控和稽核 |
|
|
資料保護 |
|
|
下表提供 VMware 和 AWS 環境之間安全實作的詳細比較,著重於存取控制、加密、監控和資料保護方法。
Aspect |
VMware |
AWS |
|---|---|---|
存取控制 |
透過 RBAC 實作傳統階層安全性,管理員可在其中定義 vSphere 中的使用者許可和角色。這允許精細控制誰可以存取特定資料存放區並執行儲存相關操作。 |
使用 IAM 實作全方位方法,透過政策和角色提供精細的存取控制。儲存貯體政策、ACLs 和安全群組的組合提供多層存取控制,使其比 VMware 更具彈性和可擴展性。 |
加密 |
依賴 VMs 和 vSAN 資料存放區的 Hypervisor 層級加密,需要與外部金鑰管理伺服器整合。這種方法提供強大的安全性,但需要手動設定和管理。 |
提供所有儲存服務的內建加密功能。 AWS 提供加密選項,包括 S3 的伺服器端加密、EBS 磁碟區,以及金鑰管理的 AWS KMS 整合。 |
監控和稽核 |
使用 vCenter 和 ESXi 日誌,並透過 Aria Operations for Logs 整合它們,並能夠整合第三方 SIEM 工具以進行增強型監控。這提供傳統的資料中心監控和稽核功能。 |
透過 CloudTrail 等原生服務提供全面的監控,以進行 API 活動追蹤、GuardDuty 用於威脅偵測,以及 AWS Config 用於組態監控。這些服務提供自動化的即時監控和提醒功能。 |
資料保護 |
VMware 著重於遵循傳統安全方法,透過強化實務和系統層級安全控制進行 VM 層級保護。 |
實作保護層,包括網路層級控制 (VPC 端點)、傳輸層級安全性 (SSL/TLS) 和其他功能,例如 S3 封鎖公開存取。 |
服務特定的安全性
Amazon EBS 加密 – AWS 為靜態和在磁碟區和執行個體之間傳輸的 Amazon EBS 磁碟區提供透明加密。Amazon EBS 磁碟區支援多種組態,包括獨立和 RAID 設定,具有透過快照進行跨可用區遷移的功能,並動態調整大小,而不會導致執行個體停機。
Amazon S3 安全性 – Amazon S3 使用伺服器端加密選項強制執行加密,例如 SSE-S3 (AWS 受管金鑰)、SSE-KMS (客戶受管金鑰) 和 SSE-C (客戶提供的金鑰)。存取控制包括儲存貯體政策、ACLs 和公開存取封鎖,以防止未經授權的公開。
Amazon EFS 安全性 – Amazon EFS 為靜態和傳輸中的資料提供加密,並透過 IAM 政策和 VPC 安全群組管理存取控制,以限制檔案系統存取授權的使用者和服務。
