Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon EVS

Model tanggung jawab AWS bersama berlaku untuk perlindungan data di Amazon Elastic VMware Service. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk menjaga kontrol atas konten Anda yang di-host di infrastruktur ini, termasuk komponen VMware Cloud Foundation (VCF). Anda juga bertanggung jawab atas konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, silakan lihat Pertanyaan Umum Privasi Data. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting blog GDPR di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau. AWS Identity and Access Management Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

Kami sangat menyarankan agar Anda tidak pernah memasukkan informasi identifikasi sensitif, seperti alamat email pelanggan Anda, ke dalam tag atau bidang teks bentuk bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Amazon EVS atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Enkripsi saat diam

Amazon EVS menerapkan instans logam EC2 yang menggunakan enkripsi AES-256 transparan secara default untuk data yang disimpan pada volume penyimpanan instans. Amazon EVS tidak mendukung enkripsi volume boot EBS saat ini.

Volume boot Amazon EBS

Instans Amazon EVS menggunakan volume boot Amazon EBS. Volume boot berisi sistem operasi dan file lain yang diperlukan untuk instans EC2 untuk boot dan dijalankan. Volume boot tidak dienkripsi. Amazon EVS tidak mendukung enkripsi volume boot saat ini. Volume boot tidak berisi data pengguna dari mesin virtual Anda.

Volume penyimpanan instans

Instans logam Amazon EVS EC2 dilengkapi dengan penyimpanan NVMe SSD lokal, yang merupakan bagian dari perangkat keras instans. Amazon EVS menggunakan volume penyimpanan NVMe instance sebagai disk untuk datastores vSAN. Datastore vSan menyimpan mesin virtual manajemen dan beban kerja Anda setelah Anda menerapkan lingkungan Amazon EVS Anda.

Data pada volume penyimpanan NVMe instance dienkripsi menggunakan cipher XTS-AES-256, diimplementasikan pada modul perangkat keras pada instance. Kunci yang digunakan untuk mengenkripsi data yang ditulis ke perangkat NVMe penyimpanan yang terpasang secara lokal adalah per pelanggan, dan per volume. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengguna Amazon EC2.

Setelah menerapkan lingkungan Amazon EVS, Anda dapat mengaktifkan data-at-rest enkripsi vSAN untuk semua data yang disimpan di datastore vSAN, untuk mesin virtual individual ()VMs, atau untuk file individual di dalamnya. VMs Kontrol granular ini dapat berguna ketika beberapa VMs memerlukan enkripsi sementara yang lain tidak, atau ketika disk atau file tertentu dalam VM perlu dienkripsi. Untuk informasi selengkapnya, lihat Cara Kerja Data-At-Rest Enkripsi vSAN di dokumentasi vSAN VMware .

Enkripsi saat bergerak

Amazon EVS tidak mengenkripsi lalu lintas dalam transit Anda secara default. Untuk mengenkripsi data dalam perjalanan yang melintasi Amazon EVS, Anda dapat menggunakan enkripsi lapisan aplikasi dengan protokol seperti Transport Layer Security (TLS). Untuk mempelajari tentang enkripsi lalu lintas instans EC2, lihat Enkripsi dalam Transit di Panduan Pengguna Amazon EC2.

Opsi enkripsi dalam transit untuk konektivitas lokal

Untuk mengenkripsi lalu lintas antara pusat data lokal dan Amazon EVS, Anda dapat menggabungkan penggunaan Direct AWS Connect dan AWS Site-To-Site VPN dengan Transit Gateway AWS . Kombinasi ini menyediakan koneksi pribadi IPsec terenkripsi yang juga mengurangi biaya jaringan, meningkatkan throughput bandwidth, dan memberikan pengalaman jaringan yang lebih konsisten daripada koneksi VPN berbasis internet. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN IP Pribadi dengan AWS Direct Connect.

MAC Security (MACsec) adalah standar IEEE yang menyediakan kerahasiaan data, integritas data, dan keaslian asal data. Anda dapat menggunakan koneksi AWS Direct Connect yang mendukung MACsec untuk mengenkripsi data dari pusat data perusahaan ke lokasi AWS Direct Connect. Untuk informasi selengkapnya, lihat Keamanan MAC di AWS Direct Connect di Panduan Pengguna AWS Direct Connect.

Enkripsi dalam perjalanan untuk data VMware jaringan

Setelah lingkungan Amazon EVS diterapkan, Anda memiliki beberapa opsi untuk menerapkan data dalam enkripsi transit di lapisan VCF: VMware

Manajemen kunci dan rahasia

Selama penyebaran lingkungan Amazon EVS, Amazon EVS menggunakan AWS Secrets Manager untuk membuat, mengenkripsi, dan menyimpan rahasia yang berisi kredensyal VCF yang diperlukan untuk menginstal dan mengakses peralatan manajemen VMware VCF, serta kata sandi root ESX. Amazon EVS juga menghapus rahasia terkelola atas nama Anda saat lingkungan EVS dihapus. Untuk informasi selengkapnya, lihat Apa yang ada dalam rahasia Secrets Manager di Panduan Pengguna AWS Secrets Manager.

Secrets Manager menggunakan enkripsi amplop dengan AWS KMS kunci dan kunci data untuk melindungi setiap nilai rahasia. Kunci AWS terkelola default untuk Secrets Manager digunakan kecuali ditentukan lain. Atau, Anda dapat menentukan kunci yang dikelola pelanggan selama pembuatan lingkungan untuk mengenkripsi rahasia Anda. Untuk informasi selengkapnya, lihat Enkripsi dan dekripsi AWS rahasia di Secrets Manager di Panduan Pengguna AWS Secrets Manager.

Amazon EVS tidak menyinkronkan kredensil antara Secrets Manager AWS dan perangkat lunak VCF pasca-penerapan. Anda bertanggung jawab untuk memastikan bahwa rahasia yang terkait dengan lingkungan Amazon EVS Anda tetap sinkron dengan kredensi di SDDC Manager untuk menghindari kedaluwarsa kata sandi VCF dan hilangnya akses ke perangkat lunak VCF.

Amazon EVS tidak memutar rahasia atas nama Anda. Anda bertanggung jawab untuk memutar rahasia yang terkait dengan lingkungan Anda. Kami sangat menyarankan agar putar rahasia Anda segera setelah lingkungan dibuat, dan terapkan jadwal rotasi untuk memperbarui rahasia Anda secara berkala. Untuk informasi selengkapnya tentang memutar AWS rahasia Secrets Manager, lihat fungsi Rotasi oleh Lambda di Panduan Pengguna Secrets AWS Manager. Untuk informasi selengkapnya tentang manajemen kata sandi VCF, lihat Manajemen Kata Sandi di dokumentasi VMware Cloud Foundation.

Privasi lalu lintas antarjaringan

Amazon EVS menggunakan VPC yang disediakan pelanggan untuk membuat batasan antara sumber daya di lingkungan Amazon EVS dan mengontrol lalu lintas di antara mereka, jaringan lokal Anda, dan internet. Untuk informasi selengkapnya tentang Amazon VPC keamanan, lihat Memastikan privasi lalu lintas internetwork Amazon VPC di Amazon VPC Panduan Pengguna.

Secara default, Amazon EVS membuat subnet VLAN pribadi selama pembuatan lingkungan yang menolak akses internet langsung. Untuk menambahkan lapisan keamanan lain ke VPC Anda, Anda dapat membuat daftar kontrol akses jaringan khusus untuk VPC Anda dengan aturan yang lebih membatasi konektivitas internet. Untuk informasi selengkapnya, lihat Membuat ACL jaringan untuk VPC Anda di Panduan Pengguna Amazon VPC.

Jika Anda seorang administrator NSX, Anda dapat mengonfigurasi fitur NSX berikut untuk mengamankan lalu lintas jaringan: