本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全
VMware 透過 vCenter 的角色型存取控制、vSAN 加密、VM 層級安全政策,以及與企業身分系統的整合來實作安全性。 AWS 遵循共同的責任模型,提供跨儲存服務整合的安全層。
AWS 透過 AWS Identity and Access Management (IAM)、靜態加密和傳輸中加密、VPC 網路隔離,以及透過 AWS CloudTrail 和 Amazon GuardDuty 自動監控。 透過 IAM 政策和以資源為基礎的政策、透過 的受管加密金鑰 AWS KMS,以及隨著基礎設施變更自動擴展的即時威脅偵測, AWS 提供資源層級存取控制。
下表摘要說明 VMware 和 的安全組態和特性 AWS。
|
|
| Aspect | VMware | AWS |
| --- |--- |--- |
| 存取控制 | 角色型存取控制 (RBAC) vSphere 許可 | ACL S3 儲存貯體政策 IAM 安全群組 |
| 加密 | 外部金鑰管理伺服器整合 Hypervisor 層級的 VM 加密 vSAN 資料存放區加密 | EBS 磁碟區加密 EFS 加密 (靜態和傳輸中) AWS KMS 整合 S3 伺服器端加密 (SSE) |
| 安全性監控和稽核 | 第三方安全資訊和事件管理 (SIEM) 整合 vCenter/ESXi 事件日誌 vRealize Log Insight vSAN 稽核日誌 | GuardDuty 威脅偵測 S3 存取日誌 CloudTrail AWS Config |
| 資料保護 | 關鍵系統檔案限制 停用不必要的服務 安全性修補程式 VM 強化 | 封鎖 S3 公有存取 傳輸中加密 (SSL/TLS) Multi-Factor Authentication VPC 端點 |
下表提供 VMware 和 AWS 環境之間安全實作的詳細比較,著重於存取控制、加密、監控和資料保護方法。
|
|
| Aspect | VMware | AWS |
| --- |--- |--- |
| 存取控制 | 透過 RBAC 實作傳統階層安全性,管理員可在其中定義 vSphere 中的使用者許可和角色。這允許精細控制誰可以存取特定資料存放區並執行儲存相關操作。 | 使用 IAM 實作全方位方法,透過政策和角色提供精細的存取控制。儲存貯體政策、ACLs 和安全群組的組合提供多層存取控制,使其比 VMware 更具彈性和可擴展性。 |
| 加密 | 依賴 VMs 和 vSAN 資料存放區的 Hypervisor 層級加密,需要與外部金鑰管理伺服器整合。這種方法提供強大的安全性,但需要手動設定和管理。 | 提供所有儲存服務的內建加密功能。 AWS 提供加密選項,包括 S3 的伺服器端加密、EBS 磁碟區,以及金鑰管理的 AWS KMS 整合。 |
| 監控和稽核 | 使用 vCenter 和 ESXi 日誌,並透過 Aria Operations for Logs 整合它們,並能夠整合第三方 SIEM 工具以進行增強型監控。這提供傳統的資料中心監控和稽核功能。 | 透過 CloudTrail 等原生服務提供全面的監控,以進行 API 活動追蹤、GuardDuty 用於威脅偵測,以及 AWS Config 用於組態監控。這些服務提供自動化的即時監控和提醒功能。 |
| 資料保護 | VMware 著重於遵循傳統安全方法,透過強化實務和系統層級安全控制進行 VM 層級保護。 | 實作保護層,包括網路層級控制 (VPC 端點)、傳輸層級安全性 (SSL/TLS) 和其他功能,例如 S3 封鎖公開存取。 |
## 服務特定的安全性
**Amazon EBS 加密 –** AWS 為靜態和在磁碟區和執行個體之間傳輸的 Amazon EBS 磁碟區提供透明加密。Amazon EBS 磁碟區支援多種組態,包括獨立和 RAID 設定,具有透過快照進行跨可用區遷移的功能,並動態調整大小,而不會導致執行個體停機。
**Amazon S3 安全性 –** Amazon S3 使用伺服器端加密選項強制執行加密,例如 SSE-S3 (AWS 受管金鑰)、SSE-KMS (客戶受管金鑰) 和 SSE-C (客戶提供的金鑰)。存取控制包括儲存貯體政策、ACLs 和公開存取封鎖,以防止未經授權的公開。
**Amazon EFS 安全性 –** Amazon EFS 為靜態和傳輸中的資料提供加密,並透過 IAM 政策和 VPC 安全群組管理存取控制,以限制檔案系統存取授權的使用者和服務。