Perlindungan data di Amazon EC2 - Amazon Elastic Compute Cloud
Keamanan EBS data AmazonEnkripsi diamEnkripsi dalam transit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon EC2

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon Elastic Compute Cloud. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Amazon EC2 atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Keamanan EBS data Amazon

EBSVolume Amazon disajikan kepada Anda sebagai perangkat blok mentah dan tidak diformat. Perangkat ini adalah perangkat logis yang dibuat pada EBS infrastruktur dan EBS layanan Amazon memastikan bahwa perangkat secara logis kosong (yaitu, blok mentah dizerokan atau mengandung data pseudorandom kriptografis) sebelum digunakan atau digunakan kembali oleh pelanggan.

Jika Anda memiliki prosedur yang mengharuskan semua data dihapus menggunakan metode tertentu, baik setelah atau sebelum digunakan (atau keduanya), seperti yang dirinci dalam DoD 5220.22-M (Manual Operasi Program Keamanan Industri Nasional) NISTatau 800-88 (Pedoman untuk Sanitasi Media), Anda memiliki kemampuan untuk melakukannya di Amazon. EBS Aktivitas tingkat blok itu akan tercermin ke media penyimpanan yang mendasarinya dalam layanan AmazonEBS.

Enkripsi diam

EBSvolume

EBSEnkripsi Amazon adalah solusi enkripsi untuk EBS volume dan snapshot Anda. Ia menggunakan AWS KMS keys. Untuk informasi selengkapnya, lihat EBSenkripsi Amazon di Panduan EBS Pengguna Amazon.

[Instans Windows] Anda juga dapat menggunakan Microsoft EFS dan NTFS izin untuk enkripsi tingkat folder dan file.

Volume penyimpanan instans

Data pada volume penyimpanan NVMe instance dienkripsi menggunakan XTS - AES -256 cipher, diimplementasikan pada modul perangkat keras pada instance. Kunci yang digunakan untuk mengenkripsi data yang ditulis ke perangkat NVMe penyimpanan yang terpasang secara lokal adalah per pelanggan, dan per volume. Kunci yang dihasilkan oleh, dan yang hanya berada di dalam, modul perangkat keras, yang tidak dapat diakses personil AWS . Kunci enkripsi tersebut akan dihancurkan saat instans dihentikan atau diakhiri dan tidak dapat dipulihkan. Anda tidak akan dapat menonaktifkan enkripsi ini dan Anda juga tidak dapat menyediakan kunci enkripsi Anda sendiri.

Data pada volume penyimpanan HDD instans pada instans H1, D3, dan D3en dienkripsi menggunakan - -256 dan kunci satu kali. XTS AES

Saat Anda menghentikan, melakukan hibernasi, atau mengakhiri instans, setiap blok penyimpanan dalam volume penyimpanan instans akan diatur ulang. Oleh karena itu, data Anda tidak dapat diakses melalui penyimpanan instans dari instans yang lain.

Memori

Enkripsi memori diaktifkan pada instans-instans berikut:

  • Contoh dengan prosesor AWS Graviton. AWS Graviton2, AWS Graviton3, dan Graviton3E mendukung enkripsi memori yang selalu aktif AWS . Kunci enkripsi yang secara aman dihasilkan dalam sistem host, tidak meninggalkan sistem host, dan akan hancur ketika host tersebut di-reboot atau dimatikan. Untuk informasi lainnya, lihat Prosesor AWS Graviton.

  • Instans dengan prosesor Intel Xeon Scalable generasi ke-3 (Ice Lake), seperti instans M6i, dan prosesor Intel Xeon Scalable generasi ke-4 (Sapphire Rapids), seperti instans M7i. Prosesor ini mendukung enkripsi memori yang selalu aktif menggunakan Intel Total Memory Encryption (). TME

  • Instans dengan AMD EPYC prosesor generasi ke-3 (Milan), seperti instans M6a, dan AMD EPYC prosesor generasi ke-4 (Genoa), seperti instans M7a. Prosesor ini mendukung enkripsi memori yang selalu aktif menggunakan AMD Secure Memory Encryption (). SME Instans dengan AMD EPYC prosesor generasi ke-3 (Milan) juga mendukung AMD Secure Encrypted Virtualization-Secure Nested Paging (-). SEV SNP

Enkripsi dalam transit

Enkripsi pada lapisan fisik

Semua data yang mengalir di seluruh AWS Wilayah melalui jaringan AWS global secara otomatis dienkripsi pada lapisan fisik sebelum meninggalkan fasilitas yang AWS aman. Semua lalu lintas di antaranya AZs dienkripsi. Lapisan-lapisan enkripsi tambahan, termasuk yang tercantum dalam bagian ini, dapat memberikan perlindungan tambahan.

Enkripsi disediakan oleh VPC peering Amazon dan Transit Gateway lintas-wilayah peering

Semua lalu lintas lintas wilayah yang menggunakan peering Amazon dan VPC peering Transit Gateway secara otomatis dienkripsi massal saat keluar dari Wilayah. Lapisan enkripsi tambahan secara otomatis disediakan di lapisan fisik untuk semua lalu lintas sebelum meninggalkan fasilitas yang AWS aman, seperti yang disebutkan sebelumnya di bagian ini.

Enkripsi antar instans

AWS menyediakan konektivitas yang aman dan pribadi antara EC2 instance dari semua jenis. Selain itu, beberapa tipe instans menggunakan kemampuan offload dari perangkat keras Nitro System yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans. Enkripsi ini menggunakan Authenticated Encryption with Associated Data (AEAD) algoritma, dengan enkripsi 256-bit. Tidak ada dampak terhadap performa jaringan. Untuk mendukung enkripsi lalu lintas dalam transit tambahan ini antara instans, persyaratan-persyaratan berikut harus dipenuhi:

  • Instans-instans tersebut menggunakan tipe instans berikut:

    • Tujuan umum: M5dn, M5n, M5Zn, M6a, M6i, M6iD, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8g

    • Komputasi dioptimalkan: C5a, C5ad, C5n, C6a, C6gN, C6i, C6iD, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8g

    • Memori yang dioptimalkan: R5dn, R5n, R6a, R6i, R6iDn, R6in, R6iD, R7a, R7g, R7gd, R7i, R7iZ, R8g, U-3tb1, U-6TB1, U-9tb1, U-12tb1, U7i-12TB, U7in-16TB, U7in-24TB, U7in-32tb, X2idn, X2iEDN, X2iEZN, X8g

    • Penyimpanan dioptimalkan: D3, D3en, I3en, I4G, i4i, iM4GN, Is4gen

    • Komputasi yang dipercepat:DL1,DL2q, G4ad, G4dn, G5, G6, G6e, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, Trn1, Trn1n, VT1

    • Komputasi performa tinggi: Hpc6a, Hpc6id, Hpc7a, Hpc7g

  • Instans-instans tersebut berada dalam Wilayah yang sama.

  • Contohnya sama VPC atau diintipVPCs, dan lalu lintas tidak melewati perangkat atau layanan jaringan virtual, seperti penyeimbang beban atau gateway transit.

Lapisan enkripsi tambahan secara otomatis disediakan di lapisan fisik untuk semua lalu lintas sebelum meninggalkan fasilitas yang AWS aman, seperti yang disebutkan sebelumnya di bagian ini.

Untuk melihat tipe instans yang mengenkripsi lalu lintas dalam transit antar instans menggunakan AWS CLI

Gunakan perintah perintah describe-instance-types berikut ini.

aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
Enkripsi ke dan dari AWS Outposts

Outpost membuat koneksi jaringan khusus yang disebut tautan layanan ke Wilayah AWS asalnya dan, secara opsional, konektivitas pribadi ke VPC subnet yang Anda tentukan. Semua lalu lintas yang melalui koneksi tersebut sudah sepenuhnya dienkripsi. Untuk informasi selengkapnya, lihat Konektivitas melalui tautan layanan dan Enkripsi dalam transit di Panduan Pengguna AWS Outposts .

Enkripsi akses jarak jauh

RDPProtokol SSH dan menyediakan saluran komunikasi yang aman untuk akses jarak jauh ke instans Anda, baik secara langsung maupun melalui Instance EC2 Connect. Akses jarak jauh ke instans Anda menggunakan AWS Systems Manager Session Manager atau Run Command dienkripsi menggunakan TLS 1.2, dan permintaan untuk membuat koneksi ditandatangani menggunakan SigV4, dan diautentikasi serta diotorisasi oleh. AWS Identity and Access Management

Anda bertanggung jawab untuk menggunakan protokol enkripsi, seperti Transport Layer Security (TLS), untuk mengenkripsi data sensitif dalam perjalanan antara klien dan EC2 instans Amazon Anda.

(Instans Windows) Pastikan untuk hanya mengizinkan koneksi terenkripsi antara EC2 instance dan AWS API titik akhir atau layanan jaringan jarak jauh sensitif lainnya. Anda dapat menerapkan hal ini melalui grup keamanan ke luar atau aturan Windows Firewall.