View a markdown version of this page

Protección de datos en Amazon EVS - Amazon Elastic VMware Service
Cifrado en reposoCifrado en tránsitoAdministración de claves y secretosPrivacidad del tráfico entre redes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon EVS

El modelo de responsabilidad AWS compartida se aplica a la protección de datos en Amazon Elastic VMware Service. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecuta toda la AWS nube. Usted es responsable de mantener el control sobre el contenido que se aloja en esta infraestructura, incluidos los componentes de VMware Cloud Foundation (VCF). También eres responsable de las tareas de configuración y administración de la seguridad Servicios de AWS que utilices. Para obtener más información sobre la privacidad de datos, consulte Preguntas frecuentes sobre la privacidad de datos. Para obtener más información sobre la protección de datos en Europa, consulte la publicación de blog AWS Shared Responsibility Model and GDPR en el blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management. De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Úselo SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

    nota

    Amazon EVS no registra la actividad de los usuarios que no sean AWS componentes, como la actividad dentro de su entorno de VCF. Estas actividades se registran en varias VMware consolas, como vSphere y NSX Manager. Si desea un registro centralizado del VCF, puede configurar soluciones de monitoreo del VCF, como VMware Aria Operations o VMware Tanzu Observability, para lograr este resultado. Para obtener más información, consulte VMware Cloud Foundation con VMware Tanzu y VMware Aria Suite Lifecyle en modo VMware Cloud Foundation en la documentación de VCF.

  • Usa soluciones AWS de cifrado, junto con todos los controles de seguridad predeterminados. Servicios de AWS

  • Utilice servicios de seguridad gestionados avanzados Amazon Macie, como los que ayudan a descubrir y proteger los datos confidenciales almacenados en ellos Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un terminal FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-3.

Le recomendamos encarecidamente que nunca coloque información de identificación confidencial, como las direcciones de correo electrónico de sus clientes, en etiquetas o campos de texto de formato libre, como un campo de nombre. Esto incluye cuando trabaja con Amazon EVS u otro dispositivo Servicios de AWS mediante la consola, la API o AWS SDKs. AWS CLI Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.

Cifrado en reposo

Amazon EVS implementa instancias metálicas EC2 que utilizan un cifrado AES-256 transparente de forma predeterminada para los datos almacenados en el volumen del almacén de instancias. Amazon EVS no admite el cifrado del volumen de arranque de EBS en este momento.

Volumen de arranque de Amazon EBS

Las instancias de Amazon EVS utilizan un volumen de arranque de Amazon EBS. El volumen de arranque contiene el sistema operativo y otros archivos necesarios para que la instancia EC2 arranque y se ejecute. El volumen de arranque no está cifrado. Amazon EVS no admite el cifrado del volumen de arranque en este momento. El volumen de arranque no contiene datos de usuario de sus máquinas virtuales.

Volumen de almacén de instancias

Las instancias metálicas EC2 de Amazon EVS incluyen almacenamiento NVMe SSD local, que forma parte del hardware de la instancia. Amazon EVS utiliza volúmenes de almacenes de NVMe instancias como discos para los almacenes de datos de vSAN. El almacén de datos de vSAN almacena las máquinas virtuales de administración y carga de trabajo después de implementar el entorno Amazon EVS.

Los datos de los volúmenes del almacén de NVMe instancias se cifran mediante un cifrado XTS-AES-256, implementado en un módulo de hardware de la instancia. Las claves que se utilizan para cifrar los datos que se escriben en los dispositivos de almacenamiento conectados localmente NVMe son por cliente y por volumen. Para obtener más información, consulte Cifrado en reposo en la Guía del usuario de Amazon EC2.

Tras implementar el entorno Amazon EVS, puede habilitar el cifrado de data-at-rest vSAN para todos los datos almacenados en el almacén de datos de vSAN, para las máquinas virtuales individuales VMs () o para los archivos individuales que contiene. VMs Este control granular puede resultar útil cuando algunos VMs requieren cifrado y otros no, o cuando es necesario cifrar discos o archivos específicos de una máquina virtual. Para obtener más información, consulte Cómo funciona el Data-At-Rest cifrado de vSAN en la documentación de vSAN VMware .

Cifrado en tránsito

Amazon EVS no cifra el tráfico en tránsito de forma predeterminada. Para cifrar los datos en tránsito que atraviesan Amazon EVS, puede utilizar el cifrado de capa de aplicación con un protocolo como Transport Layer Security (TLS). Para obtener más información sobre el cifrado del tráfico de instancias EC2, consulte Encryption in Transit en la Guía del usuario de Amazon EC2.

nota

El cifrado de red Nitro no se aplica a las instancias EC2 que despliega Amazon EVS. Amazon EVS no admite el cifrado en tránsito del tráfico entre hosts.

Opciones de cifrado en tránsito para la conectividad local

Para cifrar el tráfico entre su centro de datos local y Amazon EVS, puede combinar el uso de Direct AWS Connect y AWS Site-To-Site VPN con Transit Gateway AWS . Esta combinación proporciona una conexión privada IPsec cifrada que también reduce los costes de red, aumenta el rendimiento del ancho de banda y proporciona una experiencia de red más uniforme que las conexiones VPN basadas en Internet. Para obtener más información, consulte AWS Site-to-Site VPN de IP privada con AWS Direct Connect.

nota

Amazon EVS no admite la conectividad a través de una interfaz virtual privada (VIF) de AWS Direct Connect ni a través de una conexión AWS Site-to-Site VPN que termine directamente en la VPC subyacente. Amazon EVS admite la terminación de IPSec VPN en la puerta de enlace de nivel 0 o 1 de NSX Edge. Para obtener más información, consulte Añadir un IPSec servicio VPN de NSX en la documentación de NSX. VMware

MAC Security (MACsec) es un estándar IEEE que proporciona confidencialidad, integridad y autenticidad del origen de los datos. Puede utilizar las conexiones de AWS Direct Connect que MACsec permiten cifrar los datos desde el centro de datos corporativo a la ubicación de AWS Direct Connect. Para obtener más información, consulte Seguridad MAC en AWS Direct Connect en la Guía del usuario de AWS Direct Connect.

Cifrado en tránsito para datos VMware de red

Una vez implementado el entorno Amazon EVS, tiene varias opciones para aplicar el cifrado de los datos en tránsito en la capa VMware VCF:

Administración de claves y secretos

Durante la implementación del entorno Amazon EVS, Amazon EVS utiliza AWS Secrets Manager para crear, cifrar y almacenar los secretos que contienen las credenciales de VCF necesarias para instalar y acceder a los dispositivos de administración de VMware VCF, así como la contraseña raíz de ESX. Amazon EVS también elimina los secretos gestionados en su nombre cuando se elimina el entorno de EVS. Para obtener más información, consulte Qué hay en un secreto de Secrets Manager en la Guía del usuario de AWS Secrets Manager.

Secrets Manager utiliza el cifrado de sobres con AWS KMS claves y claves de datos para proteger cada valor secreto. A menos que se especifique lo contrario, se utiliza la clave AWS gestionada predeterminada de Secrets Manager. Como alternativa, puede especificar una clave administrada por el cliente durante la creación del entorno para cifrar sus secretos. Para obtener más información, consulte Cifrado y descifrado AWS secretos en Secrets Manager en la Guía del usuario de AWS Secrets Manager.

nota

Hay cargos de uso adicionales para las claves administradas por el cliente. La clave AWS gestionada predeterminada se proporciona sin coste alguno. Para obtener más información, consulte los precios en la Guía del usuario de AWS Secrets Manager.

Amazon EVS no sincroniza las credenciales entre AWS Secrets Manager y su software VCF después de la implementación. Usted es responsable de garantizar que los secretos asociados a su entorno de Amazon EVS se mantengan sincronizados con las credenciales de SDDC Manager para evitar que la contraseña de VCF caduque y se pierda el acceso al software de VCF.

Amazon EVS no divulga secretos en su nombre. Usted es responsable de divulgar los secretos asociados a su entorno. Te recomendamos encarecidamente que cambies tus datos secretos tan pronto como se cree el entorno e implementes un programa de rotación para actualizar tus datos secretos de forma periódica. Para obtener más información sobre la rotación de AWS los secretos de Secrets Manager, consulte Rotation by Lambda function en la Guía del usuario de AWS Secrets Manager. Para obtener más información sobre la administración de contraseñas de VCF, consulta la sección Administración de contraseñas en la documentación de VMware Cloud Foundation.

importante

Amazon EVS no sincroniza las credenciales entre AWS Secrets Manager y su software VCF después de la implementación. Si utiliza AWS Secrets Manager después de la implementación, debe mantener sincronizadas las credenciales entre AWS Secrets Manager y SDDC Manager para evitar problemas de caducidad de la contraseña de VCF. Puede perder el acceso al software VCF si las credenciales del SDDC Manager no se mantienen actualizadas.

nota

Amazon EVS no ofrece la rotación gestionada de secretos.

nota

El uso de una función Lambda para la rotación de AWS secretos de Secrets Manager conlleva costes. Para obtener más información, consulte los precios en la Guía del usuario de AWS Secrets Manager.

Privacidad del tráfico entre redes

Amazon EVS utiliza una VPC proporcionada por el cliente para crear límites entre los recursos del entorno de Amazon EVS y controlar el tráfico entre ellos, la red local e Internet. Para obtener más información sobre la Amazon VPC seguridad, consulte Garantizar la privacidad del tráfico entre redes en la Guía del usuario. Amazon VPC Amazon VPC

De forma predeterminada, Amazon EVS crea subredes de VLAN privadas durante la creación del entorno que deniegan el acceso directo a Internet. Para añadir otro nivel de seguridad a la VPC, puede crear una lista de control de acceso a la red personalizada para la VPC con reglas que restrinjan aún más la conectividad a Internet. Para obtener más información, consulte Crear una ACL de red para su VPC en la Guía del usuario de Amazon VPC.

importante

Los grupos de seguridad de EC2 no funcionan en las interfaces de red elásticas que están conectadas a las subredes de VLAN de Amazon EVS. Para controlar el tráfico hacia y desde las subredes VLAN de Amazon EVS, debe usar una lista de control de acceso a la red.

Si es administrador de NSX, puede configurar las siguientes funciones de NSX para proteger el tráfico de red:

  • VMware Firewall vDefend Gateway: protege el perímetro de la red y lo protege de amenazas externas (tráfico norte-sur). Para obtener más información, consulte Agregar una política y una regla de firewall de puerta de enlace en la VMware documentación de NSX.

  • VMware Firewall distribuido vDefend: protege contra los ataques que se originan en una red interna (tráfico de este a oeste). Para obtener más información, consulte Agregar un firewall distribuido en la VMware documentación de NSX.