Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz in Amazon EVS
Das Modell der AWS gemeinsamen Verantwortung
Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder einrichten AWS Identity and Access Management. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
-
Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.
Anmerkung
Amazon EVS protokolliert keine Benutzeraktivitäten für AWS Nichtkomponenten, wie z. B. Aktivitäten in Ihrer VCF-Umgebung. Diese Aktivitäten werden in verschiedenen VMware Konsolen wie vSphere und NSX Manager protokolliert. Wenn eine zentralisierte VCF-Protokollierung gewünscht wird, können Sie VCF-Überwachungslösungen wie VMware Aria Operations oder VMware Tanzu Observability konfigurieren, um dieses Ergebnis zu erzielen. Weitere Informationen finden Sie in der VMware VCF-Dokumentation unter Cloud Foundation mit VMware Tanzu
und VMware Aria Suite Lifecyle im VMware Cloud Foundation-Modus . -
Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen. AWS-Services
-
Verwenden Sie erweiterte verwaltete Sicherheitsdienste wie Amazon Macie, die Sie bei der Erkennung und Sicherung sensibler Daten unterstützen, die in gespeichert sind Amazon S3.
-
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3
.
Wir empfehlen dringend, dass Sie niemals vertrauliche Informationen, wie z. B. die E-Mail-Adressen Ihrer Kunden, in Tags oder frei formatierte Textfelder wie ein Namensfeld eingeben. Dies gilt auch, wenn Sie mit Amazon EVS oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Verschlüsselung im Ruhezustand
Amazon EVS stellt EC2-Metal-Instances bereit, die standardmäßig eine transparente AES-256-Verschlüsselung für Daten verwenden, die auf dem Instance-Speicher-Volume gespeichert sind. Amazon EVS unterstützt derzeit keine Verschlüsselung des EBS-Startvolumens.
Amazon EBS-Startvolume
Amazon EVS-Instances verwenden ein Amazon EBS-Startvolume. Das Startvolume enthält das Betriebssystem und andere Dateien, die für den Start und die Ausführung der EC2-Instance erforderlich sind. Das Startvolume ist nicht verschlüsselt. Amazon EVS unterstützt derzeit keine Verschlüsselung von Startvolumes. Das Startvolume enthält keine Benutzerdaten von Ihren virtuellen Maschinen.
Instance-Speicher-Volume
Amazon EVS EC2 Metal-Instances verfügen über lokalen NVMe SSD-Speicher, der Teil der Hardware der Instance ist. Amazon EVS verwendet NVMe Instance-Speicher-Volumes als Festplatten für vSAN-Datenspeicher. Der vSAN-Datenspeicher enthält Ihre virtuellen Management- und Workload-Maschinen, nachdem Sie Ihre Amazon EVS-Umgebung bereitgestellt haben.
Die Daten auf NVMe Instance-Speicher-Volumes werden mit einer XTS-AES-256-Verschlüsselung verschlüsselt, die auf einem Hardwaremodul auf der Instance implementiert ist. Die Schlüssel, die zur Verschlüsselung von Daten verwendet werden, die auf lokal angeschlossene NVMe Speichergeräte geschrieben werden, werden pro Kunde und pro Volume vergeben. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand im Amazon EC2 EC2-Benutzerhandbuch.
Nach der Bereitstellung der Amazon EVS-Umgebung können Sie die data-at-rest vSAN-Verschlüsselung für alle im vSAN-Datenspeicher gespeicherten Daten, für einzelne virtuelle Maschinen (VMs) oder für einzelne Dateien darin aktivieren. VMs Diese detaillierte Steuerung kann nützlich sein, wenn einige verschlüsselt werden VMs müssen und andere nicht, oder wenn bestimmte Festplatten oder Dateien innerhalb einer VM verschlüsselt werden müssen. Weitere Informationen finden Sie unter So funktioniert die Data-At-Rest vSAN-Verschlüsselung
Verschlüsselung während der Übertragung
Amazon EVS verschlüsselt Ihren während der Übertragung befindlichen Verkehr standardmäßig nicht. Um die Daten zu verschlüsseln, die Amazon EVS übertragen, können Sie die Verschlüsselung auf Anwendungsebene mit einem Protokoll wie Transport Layer Security (TLS) verwenden. Weitere Informationen zur Verschlüsselung des EC2-Instance-Datenverkehrs finden Sie unter Verschlüsselung bei der Übertragung im Amazon EC2-Benutzerhandbuch.
Anmerkung
Die Nitro-Netzwerkverschlüsselung gilt nicht für die EC2-Instances, die Amazon EVS bereitstellt. Amazon EVS unterstützt keine Verschlüsselung während der Übertragung von Datenverkehr zwischen Hosts.
Verschlüsselungsoptionen während der Übertragung für lokale Konnektivität
Um den Verkehr zwischen Ihrem lokalen Rechenzentrum und Amazon EVS zu verschlüsseln, können Sie AWS Direct Connect und AWS Site-To-Site VPN mit AWS Transit Gateway kombinieren. Diese Kombination bietet eine IPsec verschlüsselte private Verbindung, die auch die Netzwerkkosten senkt, den Bandbreitendurchsatz erhöht und ein konsistenteres Netzwerkerlebnis bietet als internetbasierte VPN-Verbindungen. Weitere Informationen finden Sie unter Privates AWS Site-to-Site IP-VPN mit AWS Direct Connect.
Anmerkung
Amazon EVS unterstützt keine Konnektivität über eine private virtuelle Schnittstelle (VIF) von AWS Direct Connect oder über eine AWS Site-to-Site VPN-Verbindung, die direkt mit der Underlay-VPC endet. Amazon EVS unterstützt IPSec VPN-Terminierung auf dem NSX Edge Tier-0- oder Tier-1-Gateway. Weitere Informationen finden Sie unter Hinzufügen eines NSX-VPN-Dienstes in der NSX-Dokumentation IPSec
MAC Security (MACsec) ist ein IEEE-Standard, der Datenvertraulichkeit, Datenintegrität und Authentizität der Datenherkunft gewährleistet. Sie können AWS Direct Connect-Verbindungen verwenden, die MACsec die Verschlüsselung Ihrer Daten von Ihrem Unternehmensrechenzentrum zum AWS Direct Connect-Standort unterstützen. Weitere Informationen finden Sie unter MAC-Sicherheit in AWS Direct Connect im AWS Direct Connect-Benutzerhandbuch.
Verschlüsselung bei der Übertragung von VMware Netzwerkdaten
Nach der Bereitstellung der Amazon EVS-Umgebung haben Sie mehrere Optionen, um die Verschlüsselung von Daten bei der Übertragung auf der VMware VCF-Ebene durchzusetzen:
-
VMware vDefend Distributed Firewall — Ermöglicht die Implementierung einer detaillierten Netzwerksegmentierung und die Durchsetzung der Verschlüsselung zwischen virtuellen Maschinen. TLS/SSL Weitere Informationen finden Sie in der VCF-Dokumentation unter Konfigurieren der Sicherheitseinstellungen für die verteilte Firewall mithilfe der Benutzeroberfläche
. VMware -
data-in-transitvSAN-Verschlüsselung — Kann verwendet werden, um alle Daten und Metadaten zwischen Hosts in Ihrem vSAN-Cluster zu verschlüsseln. Weitere Informationen finden Sie unter Data-In-TransitvSAN-Verschlüsselung
in der VMware vSAN-Dokumentation. -
Verschlüsseltes vSphere vMotion — gewährleistet Vertraulichkeit, Integrität und Authentizität von Daten, die mit vSphere vMotion übertragen werden. Weitere Informationen finden Sie unter Was ist verschlüsseltes vSphere vMotion in der vSphere-Dokumentation
.
Verwaltung von Schlüsseln und Geheimnissen
Während der Bereitstellung der Amazon EVS-Umgebung verwendet Amazon EVS AWS Secrets Manager, um Secrets zu erstellen, zu verschlüsseln und zu speichern, die die VCF-Anmeldeinformationen enthalten, die für die Installation und den Zugriff auf VMware VCF-Verwaltungs-Appliances sowie das ESX-Root-Passwort erforderlich sind. Amazon EVS löscht auch verwaltete Geheimnisse in Ihrem Namen, wenn die EVS-Umgebung gelöscht wird. Weitere Informationen finden Sie unter Was ist in einem Secrets Manager Manager-Geheimnis im AWS Secrets Manager-Benutzerhandbuch.
Secrets Manager verwendet eine Umschlagverschlüsselung mit AWS KMS Schlüsseln und Datenschlüsseln, um jeden geheimen Wert zu schützen. Sofern nicht anders angegeben, wird der AWS verwaltete Standardschlüssel für Secrets Manager verwendet. Alternativ können Sie bei der Erstellung der Umgebung einen vom Kunden verwalteten Schlüssel angeben, um Ihre Geheimnisse zu verschlüsseln. Weitere Informationen finden Sie unter Secrets Ver- und Entschlüsselung in AWS Secrets Manager im AWS Secrets Manager Manager-Benutzerhandbuch.
Anmerkung
Für vom Kunden verwaltete Schlüssel fallen zusätzliche Nutzungsgebühren an. Der AWS verwaltete Standardschlüssel wird kostenlos zur Verfügung gestellt. Weitere Informationen finden Sie unter Preise im AWS Secrets Manager Manager-Benutzerhandbuch.
Amazon EVS synchronisiert nach der Bereitstellung keine Anmeldeinformationen zwischen AWS Secrets Manager und Ihrer VCF-Software. Sie sind dafür verantwortlich, dass die mit Ihrer Amazon EVS-Umgebung verknüpften Geheimnisse mit den Anmeldeinformationen im SDDC Manager synchronisiert werden, um den Ablauf von VCF-Passwörtern und den Verlust des Zugriffs auf die VCF-Software zu verhindern.
Amazon EVS wechselt Geheimnisse nicht in Ihrem Namen. Sie sind dafür verantwortlich, die mit Ihrer Umgebung verknüpften Geheimnisse rotieren zu lassen. Wir empfehlen dringend, Ihre Geheimnisse rotieren zu lassen, sobald die Umgebung erstellt wurde, und einen Rotationsplan zu implementieren, um Ihre Geheimnisse in regelmäßigen Abständen zu aktualisieren. Weitere Informationen zur Rotation von AWS Secrets Manager Manager-Geheimnissen finden Sie unter Rotation durch Lambda-Funktion im AWS Secrets Manager Manager-Benutzerhandbuch. Weitere Informationen zur VCF-Passwortverwaltung finden Sie unter Passwortverwaltung
Wichtig
Amazon EVS synchronisiert nach der Bereitstellung keine Anmeldeinformationen zwischen AWS Secrets Manager und Ihrer VCF-Software. Wenn Sie AWS Secrets Manager nach der Bereitstellung verwenden, müssen Sie die Anmeldeinformationen zwischen AWS Secrets Manager und SDDC Manager synchron halten, um Probleme mit dem Ablauf von VCF-Passwörtern zu vermeiden. Sie verlieren möglicherweise den Zugriff auf die VCF-Software, wenn die SDDC Manager-Anmeldeinformationen nicht auf dem neuesten Stand gehalten werden.
Anmerkung
Amazon EVS bietet keine verwaltete Rotation von Geheimnissen.
Anmerkung
Die Verwendung einer Lambda-Funktion für die geheime Rotation von AWS Secrets Manager ist mit Kosten verbunden. Weitere Informationen finden Sie unter Preise im AWS Secrets Manager Manager-Benutzerhandbuch.
Richtlinie für den Datenverkehr zwischen Netzwerken
Amazon EVS verwendet eine vom Kunden bereitgestellte VPC, um Grenzen zwischen Ressourcen in der Amazon EVS-Umgebung zu schaffen und den Verkehr zwischen ihnen, Ihrem lokalen Netzwerk und dem Internet zu kontrollieren. Weitere Informationen zur Amazon VPC Sicherheit finden Sie im Benutzerhandbuch unter Gewährleisten des Datenschutzes im Netzwerkverkehr. Amazon VPC Amazon VPC
Standardmäßig erstellt Amazon EVS während der Umgebungserstellung private VLAN-Subnetze, die den direkten Internetzugang verweigern. Um Ihrer VPC eine weitere Sicherheitsebene hinzuzufügen, können Sie eine benutzerdefinierte Netzwerkzugriffskontrollliste für Ihre VPC mit Regeln erstellen, die die Internetkonnektivität weiter einschränken. Weitere Informationen finden Sie unter Erstellen einer Netzwerk-ACL für Ihre VPC im Amazon VPC-Benutzerhandbuch.
Wichtig
EC2-Sicherheitsgruppen funktionieren nicht auf elastischen Netzwerkschnittstellen, die mit Amazon EVS-VLAN-Subnetzen verbunden sind. Um den Verkehr zu und von Amazon EVS VLAN-Subnetzen zu kontrollieren, müssen Sie eine Netzwerkzugriffskontrollliste verwenden.
Wenn Sie ein NSX-Administrator sind, können Sie die folgenden NSX-Funktionen zur Sicherung des Netzwerkverkehrs konfigurieren:
-
VMware vDefend Gateway Firewall — Schützt den Netzwerkperimeter und schützt vor externen Bedrohungen (Nord-Süd-Verkehr). Weitere Informationen finden Sie unter Hinzufügen einer Gateway-Firewall-Richtlinie und -Regel in der NSX-Dokumentation
. VMware -
VMware vDefend Distributed Firewall — Schützt vor Angriffen aus einem internen Netzwerk (Ost-West-Verkehr). Weitere Informationen finden Sie unter Hinzufügen einer verteilten Firewall
in der VMware NSX-Dokumentation.
