View a markdown version of this page

Protection des données dans Amazon EVS - Amazon Elastic VMware Service
Chiffrement au reposChiffrement en transitGestion des clés et des secretsConfidentialité du trafic inter-réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon EVS

Le modèle de responsabilitéAWS partagée s'applique à la protection des données dans Amazon Elastic VMware Service. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure mondiale qui gère l'ensemble du AWS cloud. Vous êtes responsable du contrôle de votre contenu hébergé sur cette infrastructure, y compris les composants VMware Cloud Foundation (VCF). Vous êtes également responsable de la configuration de la sécurité et des tâches de gestion de Services AWS ce que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) relatives à la confidentialité des données. Pour plus d'informations sur la protection des données en Europe, veuillez consulter le billet de blog Modèle de responsabilité partagée AWS et RGPD sur la page Blog Security AWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS. Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

    Note

    Amazon EVS n'enregistre pas l'activité des utilisateurs pour les AWS non-composants, tels que l'activité au sein de votre environnement VCF. Ces activités sont enregistrées dans différentes VMware consoles telles que vSphere et NSX Manager. Si une journalisation VCF centralisée est souhaitée, vous pouvez configurer des solutions de surveillance VCF telles que VMware Aria Operations ou VMware Tanzu Observability pour obtenir ce résultat. Pour plus d'informations, consultez VMware Cloud Foundation with VMware Tanzu et VMware Aria Suite Lifecyle en mode VMware Cloud Foundation dans la documentation VCF.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels que Amazon Macie, qui aident à découvrir et à sécuriser les données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons vivement de ne jamais placer d'informations d'identification sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec Amazon EVS ou une autre entreprise à Services AWS l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement au repos

Amazon EVS déploie des instances métalliques EC2 qui utilisent un chiffrement AES-256 transparent par défaut pour les données stockées sur le volume de stockage de l'instance. Amazon EVS ne prend pas en charge le chiffrement du volume de démarrage EBS pour le moment.

Volume de démarrage Amazon EBS

Les instances Amazon EVS utilisent un volume de démarrage Amazon EBS. Le volume de démarrage contient le système d'exploitation et les autres fichiers nécessaires au démarrage et à l'exécution de l'instance EC2. Le volume de démarrage n'est pas chiffré. Amazon EVS ne prend pas en charge le chiffrement du volume de démarrage pour le moment. Le volume de démarrage ne contient aucune donnée utilisateur provenant de vos machines virtuelles.

Volume de stockage d’instance

Les instances métalliques Amazon EVS EC2 sont fournies avec un stockage NVMe SSD local, qui fait partie du matériel de l'instance. Amazon EVS utilise des volumes de stockage d' NVMe instance comme disques pour les banques de données vSAN. La banque de données vSAN contient vos machines virtuelles de gestion et de charge de travail après le déploiement de votre environnement Amazon EVS.

Les données des volumes de stockage d' NVMe instance sont chiffrées à l'aide d'un chiffrement XTS-AES-256, implémenté sur un module matériel de l'instance. Les clés utilisées pour chiffrer les données écrites sur des périphériques de NVMe stockage connectés localement sont définies par client et par volume. Pour plus d'informations, consultez la section Encryption at rest dans le guide de l'utilisateur Amazon EC2.

Après avoir déployé l'environnement Amazon EVS, vous pouvez activer le chiffrement data-at-rest vSAN pour toutes les données stockées dans la banque de données vSAN, pour des machines virtuelles individuelles VMs () ou pour des fichiers individuels qu'elles contiennent. VMs Ce contrôle granulaire peut être utile lorsque certains VMs nécessitent un chiffrement alors que d'autres ne le font pas, ou lorsque des disques ou des fichiers spécifiques d'une machine virtuelle doivent être chiffrés. Pour plus d'informations, consultez la section Fonctionnement du Data-At-Rest chiffrement vSAN dans la documentation vSAN VMware .

Chiffrement en transit

Amazon EVS ne chiffre pas votre trafic en transit par défaut. Pour chiffrer les données en transit qui transitent par Amazon EVS, vous pouvez utiliser le chiffrement de couche application avec un protocole tel que Transport Layer Security (TLS). Pour en savoir plus sur le chiffrement du trafic des instances EC2, consultez la section Chiffrement en transit du guide de l'utilisateur Amazon EC2.

Note

Le chiffrement réseau Nitro ne s'applique pas aux instances EC2 déployées par Amazon EVS. Amazon EVS ne prend pas en charge le chiffrement en transit du trafic inter-hôtes.

Options de chiffrement en transit pour la connectivité sur site

Pour chiffrer le trafic entre votre centre de données sur site et Amazon EVS, vous pouvez combiner l'utilisation de Direct AWS Connect et d' AWS Site-To-Site un VPN avec Transit Gateway AWS . Cette combinaison fournit une IPsec connexion privée cryptée qui réduit également les coûts du réseau, augmente le débit de bande passante et fournit une expérience réseau plus cohérente que les connexions VPN basées sur Internet. Pour plus d'informations, consultez la section AWS Site-to-Site VPN IP privé avec AWS Direct Connect.

Note

Amazon EVS ne prend pas en charge la connectivité via une interface virtuelle privée (VIF) AWS Direct Connect ou via une connexion AWS Site-to-Site VPN qui aboutit directement au VPC sous-jacent. Amazon EVS prend en charge la terminaison du IPSec VPN sur la passerelle NSX Edge de niveau 0 ou de niveau 1. Pour plus d'informations, consultez la section Ajouter un service IPSec VPN NSX dans la documentation de VMware NSX.

MAC Security (MACsec) est une norme IEEE qui garantit la confidentialité, l'intégrité des données et l'authenticité de l'origine des données. Vous pouvez utiliser les connexions AWS Direct Connect qui permettent MACsec de chiffrer vos données entre le centre de données de votre entreprise et le site AWS Direct Connect. Pour plus d'informations, consultez la section Sécurité MAC dans AWS Direct Connect dans le guide de l'utilisateur de AWS Direct Connect.

Chiffrement en transit pour les données VMware du réseau

Une fois l'environnement Amazon EVS déployé, plusieurs options s'offrent à vous pour appliquer le chiffrement des données en transit au niveau de la couche VMware VCF :

Gestion des clés et des secrets

Lors du déploiement de l'environnement Amazon EVS, Amazon EVS utilise AWS Secrets Manager pour créer, chiffrer et stocker des secrets contenant les informations d'identification VCF nécessaires pour installer et accéder aux dispositifs de gestion VMware VCF, ainsi que le mot de passe root ESX. Amazon EVS supprime également les secrets gérés en votre nom lorsque l'environnement EVS est supprimé. Pour plus d'informations, consultez la section Contenu d'un secret de Secrets Manager dans le Guide de l'utilisateur de AWS Secrets Manager.

Secrets Manager utilise le chiffrement des enveloppes avec des AWS KMS clés et des clés de données pour protéger chaque valeur secrète. La clé AWS gérée par défaut pour Secrets Manager est utilisée sauf indication contraire. Vous pouvez également spécifier une clé gérée par le client lors de la création de l'environnement pour chiffrer vos secrets. Pour plus d'informations, consultez la section Chiffrement et déchiffrement des AWS secrets dans Secrets Manager dans le guide de l'utilisateur de AWS Secrets Manager.

Note

Des frais d'utilisation supplémentaires s'appliquent aux clés gérées par le client. La clé AWS gérée par défaut est fournie gratuitement. Pour plus d'informations, consultez la section Tarification dans le guide de l'utilisateur de AWS Secrets Manager.

Amazon EVS ne synchronise pas les informations d'identification entre AWS Secrets Manager et votre logiciel VCF après le déploiement. Il vous incombe de vous assurer que les secrets associés à votre environnement Amazon EVS sont synchronisés avec les informations d'identification dans SDDC Manager afin d'éviter l'expiration du mot de passe VCF et la perte d'accès au logiciel VCF.

Amazon EVS n'échange pas les secrets en votre nom. Vous êtes responsable de la rotation des secrets associés à votre environnement. Nous vous recommandons vivement de faire alterner vos secrets dès que l'environnement est créé et de mettre en œuvre un calendrier de rotation pour mettre à jour vos secrets à intervalles réguliers. Pour plus d'informations sur la rotation des AWS secrets de Secrets Manager, consultez la section Rotation by Lambda function dans le guide de l'utilisateur de AWS Secrets Manager. Pour plus d'informations sur la gestion des mots de passe VCF, consultez la section Gestion des mots de passe dans la documentation de VMware Cloud Foundation.

Important

Amazon EVS ne synchronise pas les informations d'identification entre AWS Secrets Manager et votre logiciel VCF après le déploiement. Si vous utilisez AWS Secrets Manager après le déploiement, vous devez synchroniser les informations d'identification entre AWS Secrets Manager et SDDC Manager pour éviter les problèmes d'expiration des mots de passe VCF. Vous risquez de perdre l'accès au logiciel VCF si les informations d'identification du SDDC Manager ne sont pas mises à jour.

Note

Amazon EVS ne propose pas de rotation gérée des secrets.

Note

L'utilisation d'une fonction Lambda pour la rotation des secrets de AWS Secrets Manager entraîne des coûts. Pour plus d'informations, consultez la section Tarification dans le guide de l'utilisateur de AWS Secrets Manager.

Confidentialité du trafic inter-réseau

Amazon EVS utilise un VPC fourni par le client pour créer des limites entre les ressources de l'environnement Amazon EVS et contrôler le trafic entre celles-ci, votre réseau sur site et Internet. Pour plus d'informations sur Amazon VPC la sécurité, voir Garantir la confidentialité du trafic interréseau Amazon VPC dans le guide de l' Amazon VPC utilisateur.

Par défaut, Amazon EVS crée des sous-réseaux VLAN privés lors de la création de l'environnement qui interdisent l'accès direct à Internet. Pour ajouter un niveau de sécurité supplémentaire à votre VPC, vous pouvez créer une liste de contrôle d'accès réseau personnalisée pour votre VPC avec des règles qui limitent davantage la connectivité Internet. Pour plus d'informations, consultez la section Créer une ACL réseau pour votre VPC dans le guide de l'utilisateur Amazon VPC.

Important

Les groupes de sécurité EC2 ne fonctionnent pas sur les interfaces réseau élastiques connectées aux sous-réseaux Amazon EVS VLAN. Pour contrôler le trafic à destination et en provenance des sous-réseaux VLAN Amazon EVS, vous devez utiliser une liste de contrôle d'accès réseau.

Si vous êtes administrateur NSX, vous pouvez configurer les fonctionnalités NSX suivantes pour sécuriser le trafic réseau :

  • VMware vDefend Gateway Firewall : sécurise le périmètre du réseau en le protégeant contre les menaces externes (trafic nord-sud). Pour plus d'informations, consultez la section Ajouter une politique et une règle de pare-feu de passerelle dans la documentation de VMware NSX.

  • VMware vDefend Distributed Firewall : protège contre les attaques provenant d'un réseau interne (trafic est-ouest). Pour plus d'informations, consultez la section Ajouter un pare-feu distribué dans la documentation de VMware NSX.