Datenschutz bei Amazon EC2 - Amazon Elastic Compute Cloud
EBSDatensicherheit bei AmazonVerschlüsselung im RuhezustandVerschlüsselung während der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz bei Amazon EC2

Das AWS Modell der gilt für den Datenschutz in Amazon Elastic Compute Cloud. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie im Abschnitt Datenschutz FAQ. Informationen zum Datenschutz in Europa finden Sie im AWS Shared Responsibility Model und im GDPR Blogbeitrag auf dem AWS Security Blog.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-3. FIPS

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon EC2 oder anderen zusammenarbeiten und die Konsole AWS-Services verwendenAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.

EBSDatensicherheit bei Amazon

EBSAmazon-Volumes werden Ihnen als rohe, unformatierte Blockgeräte angezeigt. Bei diesen Geräten handelt es sich um logische Geräte, die in der EBS Infrastruktur erstellt werden, und der EBS Amazon-Service stellt sicher, dass die Geräte vor jeder Verwendung oder Wiederverwendung durch einen Kunden logisch leer sind (d. h. die Rohblöcke sind auf Null gesetzt oder sie enthalten kryptografische Pseudozufallsdaten).

Wenn Sie über Verfahren verfügen, bei denen alle Daten mit einer bestimmten Methode gelöscht werden müssen, entweder nach oder vor der Verwendung (oder beides), z. B. die in DoD 5220.22-M (National Industrial Security Program Operating Manual) oder NIST800-88 (Richtlinien zur Medienbereinigung) beschriebenen Verfahren, können Sie dies bei Amazon tun. EBS Diese Aktivität auf Blockebene wird sich auf die zugrunde liegenden Speichermedien innerhalb des EBS Amazon-Service auswirken.

Verschlüsselung im Ruhezustand

EBS-Volumes

Amazon EBS Encryption ist eine Verschlüsselungslösung für Ihre EBS Volumes und Snapshots. Es benutzt AWS KMS keys. Weitere Informationen finden Sie unter EBSAmazon-Verschlüsselung im EBSAmazon-Benutzerhandbuch.

[Windows-Instanzen] Sie können auch Microsoft EFS und NTFS Berechtigungen für die Verschlüsselung auf Ordner- und Dateiebene verwenden.

Instance-Speicher-Volumes

Die Daten auf NVMe Instance-Speicher-Volumes werden mit einer XTS AES -256-Verschlüsselung verschlüsselt, die auf einem Hardwaremodul auf der Instanz implementiert ist. Die Schlüssel, die zur Verschlüsselung von Daten verwendet werden, die auf lokal angeschlossene NVMe Speichergeräte geschrieben werden, werden pro Kunde und pro Volume vergeben. Die Schlüssel werden vom Hardwaremodul generiert, das für AWS -Personal unzugänglich ist, und befinden sich nur in diesem. Die Verschlüsselungsschlüssel werden vernichtet, wenn die Instance angehalten oder beendet wird, und können nicht wiederhergestellt werden. Sie können diese Verschlüsselung nicht deaktivieren und keine eigenen Verschlüsselungsschlüssel bereitstellen.

Die Daten auf HDD Instance-Speicher-Volumes auf H1-, D3- und D3en-Instances werden mit -256 und Einmalschlüsseln verschlüsselt. XTS AES

Wenn Sie eine Instance anhalten, in den Ruhezustand versetzen oder beenden, wird jeder Speicherblock im Instance-Speicher-Volume zurückgesetzt. Deshalb ist der Zugriff auf Ihre Daten nicht über den Instance-Speicher einer anderen Instance möglich.

Arbeitsspeicher

Die Speicherverschlüsselung ist auf den folgenden Instances aktiviert:

  • Instances mit AWS Graviton2- oder neueren Graviton-Prozessoren unterstützen die AWS Always-On-Speicherverschlüsselung. Die Verschlüsselungsschlüssel werden sicher im Hostsystem generiert, verlassen das Hostsystem nicht und werden zerstört, wenn der Host neu gestartet oder heruntergefahren wird. Weitere Informationen finden Sie unter AWS -Graviton-Processors.

  • Instances mit skalierbaren Intel-Xeon-Prozessoren der 3. Generation (Ice Lake), z. B. M6i-Instances, und skalierbaren Intel-Xeon-Prozessoren der 4. Generation (Sapphire Rapids), z. B. M7i-Instances. Diese Prozessoren unterstützen die Always-On-Speicherverschlüsselung mit Intel Total Memory Encryption (). TME

  • Instances mit AMD EPYC Prozessoren der 3. Generation (Milan), wie M6A-Instances, und AMD EPYC Prozessoren der 4. Generation (Genoa), wie M7A-Instances. Diese Prozessoren unterstützen die Always-On-Speicherverschlüsselung mithilfe von AMD Secure Memory Encryption (). SME Instances mit AMD EPYC Prozessoren der dritten Generation (Milan) unterstützen auch AMD Secure Encrypted Virtualization-Secure Nested Paging (-). SEV SNP

Verschlüsselung während der Übertragung

Verschlüsselung auf physischer Ebene

Alle Daten, die über das AWS globale Netzwerk zwischen AWS Regionen fließen, werden auf der physischen Ebene automatisch verschlüsselt, bevor sie gesicherte Einrichtungen verlassen. AWS Der gesamte Datenverkehr zwischen beiden AZs ist verschlüsselt. Zusätzliche Verschlüsselungsebenen, einschließlich der in diesem Abschnitt aufgeführten, bieten möglicherweise zusätzlichen Schutz.

Verschlüsselung durch Amazon VPC Peering und Transit Gateway regionsübergreifendes Peering

Der gesamte regionsübergreifende Datenverkehr, der Amazon VPC Peering und Transit Gateway Gateway-Peering verwendet, wird automatisch massenverschlüsselt, wenn er eine Region verlässt. Auf der physischen Ebene wird automatisch eine zusätzliche Verschlüsselungsebene für den gesamten Datenverkehr bereitgestellt, bevor er AWS gesicherte Einrichtungen verlässt, wie bereits in diesem Abschnitt erwähnt.

Verschlüsselung zwischen den Instances

AWS bietet sichere und private Konnektivität zwischen EC2 Instanzen aller Typen. Darüber hinaus verwenden einige Instance-Typen die Offload-Funktionen der zugrunde liegenden Nitro-System-Hardware, um den Datenverkehr während der Übertragung zwischen Instances automatisch zu verschlüsseln. Diese Verschlüsselung verwendet Authenticated Encryption with Associated Data (AEAD) -Algorithmen mit 256-Bit-Verschlüsselung. Es gibt keine Auswirkungen auf die Netzwerkleistung. Um diese zusätzliche Verschlüsselung des Datenverkehrs während der Übertragung zwischen Instances zu unterstützen, müssen die folgenden Anforderungen erfüllt sein:

  • Die Instances verwenden die folgenden Instance-Typen:

    • Allgemeine Zwecke: M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8g

    • Für Datenverarbeitung optimiert: C5a, C5ad, C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8g

    • Speicheroptimiert: R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iz, R8g, U-3tb1, U-6tb1, U-9tb1, U-12tb1, U-18tb1, U-24tB1, U7i-6TB, U7i-8TB, U7i-12 TB, U7-in-16 TB, U7-in-24 TB, U7-in-32 TB, U7in-H-32 TB, X2IDN, X2iEDN, X2IEZN, X8G

    • Speicheroptimiert: D3, D3en, I3en, I4g, I4i, I7ie, I8g, Im4gn, Is4gen

    • Beschleunigtes Rechnen: DL1DL2q,, F2, G4ad, G4dn, G5, G6, G6e, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, P5en, Trn1, Trn1n, Trn2, Trn2u, VT1

    • Datenverarbeitung in Hochleistung: Hpc6a, Hpc6id, Hpc7a, Hpc7g

  • Die Instances befinden sich in derselben Region.

  • Die Instanzen befinden sich in derselben Instanz VPC oder werden über Peering VPCs miteinander verbunden, und der Datenverkehr wird nicht über ein virtuelles Netzwerkgerät oder einen virtuellen Netzwerkdienst wie einen Load Balancer oder ein Transit-Gateway geleitet.

Auf der physischen Ebene wird automatisch eine zusätzliche Verschlüsselungsebene für den gesamten Datenverkehr bereitgestellt, bevor er AWS gesicherte Einrichtungen verlässt, wie bereits in diesem Abschnitt erwähnt.

So zeigen Sie die Instance-Typen an, die den Datenverkehr während des Transitverkehrs zwischen Instances mithilfe von AWS CLI verschlüsseln

Verwenden Sie den folgenden describe-instance-types-Befehl.

aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
Verschlüsselung von und zu AWS Outposts

Ein Outpost stellt spezielle Netzwerkverbindungen her, die als Dienstlinks zu seiner AWS Heimatregion bezeichnet werden, und optional private Verbindungen zu einem von Ihnen VPC angegebenen Subnetz. Der gesamte Datenverkehr über diese Verbindung ist vollständig verschlüsselt. Weitere Informationen finden Sie unter Konnektivität über Service-Links und Verschlüsselung während der Übertragung im AWS Outposts Benutzerhandbuch.

Verschlüsselung des Fernzugriffs

Die RDP Protokolle SSH und bieten sichere Kommunikationskanäle für den Fernzugriff auf Ihre Instances, sei es direkt oder über EC2 Instance Connect. Der Fernzugriff auf Ihre Instances mithilfe von AWS Systems Manager Session Manager oder Run Command wird mit TLS 1.2 verschlüsselt, und Anfragen zum Herstellen einer Verbindung werden mit Sigv4 signiert und von authentifiziert und autorisiert. AWS Identity and Access Management

Es liegt in Ihrer Verantwortung, ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) zu verwenden, um sensible Daten bei der Übertragung zwischen Clients und Ihren EC2 Amazon-Instances zu verschlüsseln.

(Windows-Instances) Stellen Sie sicher, dass Sie nur verschlüsselte Verbindungen zwischen EC2 Instances und den AWS API Endpunkten oder anderen sensiblen Remote-Netzwerkdiensten zulassen. Sie können dies über eine ausgehende Sicherheitsgruppe oder Windows-Firewall-Regeln erzwingen.