Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Amazon EVS
[Model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Elastic VMware Service. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk menjaga kontrol atas konten Anda yang di-host di infrastruktur ini, termasuk komponen VMware Cloud Foundation (VCF). Anda juga bertanggung jawab atas konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, silakan lihat [ Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq). Untuk informasi tentang perlindungan data di Eropa, lihat [Model Tanggung Jawab AWS Bersama dan posting blog GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) di *Blog AWS Keamanan*.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau. AWS Identity and Access Management Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di * AWS CloudTrail Panduan Pengguna*.
**catatan**
Amazon EVS tidak mencatat aktivitas pengguna untuk AWS non-komponen, seperti aktivitas dalam lingkungan VCF Anda. Aktivitas ini dicatat di berbagai VMware konsol seperti vSphere dan NSX Manager. Jika logging VCF terpusat diinginkan, Anda dapat mengonfigurasi solusi pemantauan VCF seperti Operasi VMware Aria atau Observabilitas VMware Tanzu untuk mencapai hasil ini. Untuk informasi selengkapnya, lihat [VMware Cloud Foundation dengan VMware Tanzu](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/working-with-workload-management-admin.html) dan [VMware Aria Suite Lifecyle dalam mode VMware Cloud Foundation dalam dokumentasi](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/vrealize-suite-lifecycle-manager-in-cloud-foundation-admin.html) VCF.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu dalam menemukan dan mengamankan data sensitif yang disimpan. Amazon S3
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
**Kami sangat menyarankan agar Anda tidak pernah memasukkan informasi identifikasi sensitif, seperti alamat email pelanggan Anda, ke dalam tag atau bidang teks bentuk bebas seperti bidang Nama.** Ini termasuk saat Anda bekerja dengan Amazon EVS atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi saat diam
Amazon EVS menerapkan instans logam EC2 yang menggunakan enkripsi AES-256 transparan secara default untuk data yang disimpan pada volume penyimpanan instans. Amazon EVS tidak mendukung enkripsi volume boot EBS saat ini.
### Volume boot Amazon EBS
Instans Amazon EVS menggunakan volume boot Amazon EBS. Volume boot berisi sistem operasi dan file lain yang diperlukan untuk instans EC2 untuk boot dan dijalankan. Volume boot tidak dienkripsi. Amazon EVS tidak mendukung enkripsi volume boot saat ini. Volume boot tidak berisi data pengguna dari mesin virtual Anda.
### Volume penyimpanan instans
Instans logam Amazon EVS EC2 dilengkapi dengan penyimpanan NVMe SSD lokal, yang merupakan bagian dari perangkat keras instans. Amazon EVS menggunakan volume penyimpanan NVMe instance sebagai disk untuk datastores vSAN. Datastore vSan menyimpan mesin virtual manajemen dan beban kerja Anda setelah Anda menerapkan lingkungan Amazon EVS Anda.
Data pada volume penyimpanan NVMe instance dienkripsi menggunakan cipher XTS-AES-256, diimplementasikan pada modul perangkat keras pada instance. Kunci yang digunakan untuk mengenkripsi data yang ditulis ke perangkat NVMe penyimpanan yang terpasang secara lokal adalah per pelanggan, dan per volume. Untuk informasi selengkapnya, lihat [Enkripsi saat istirahat](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-rest) di *Panduan Pengguna Amazon EC2*.
Setelah menerapkan lingkungan Amazon EVS, Anda dapat mengaktifkan data-at-rest enkripsi vSAN untuk semua data yang disimpan di datastore vSAN, untuk mesin virtual individual ()VMs, atau untuk file individual di dalamnya. VMs Kontrol granular ini dapat berguna ketika beberapa VMs memerlukan enkripsi sementara yang lain tidak, atau ketika disk atau file tertentu dalam VM perlu dienkripsi. Untuk informasi selengkapnya, lihat [Cara Kerja Data-At-Rest Enkripsi vSAN](https://techdocs.broadcom.com/us/en/vmware-cis/vsan/vsan/8-0/vsan-administration/using-encryption-in-a-vsan-cluster-1/vsan-data-at-rest-encryption/how-vsan-data-at-rest-encryption-works.html) di dokumentasi vSAN VMware .
## Enkripsi saat bergerak
Amazon EVS tidak mengenkripsi lalu lintas dalam transit Anda secara default. Untuk mengenkripsi data dalam perjalanan yang melintasi Amazon EVS, Anda dapat menggunakan enkripsi lapisan aplikasi dengan protokol seperti Transport Layer Security (TLS). Untuk mempelajari tentang enkripsi lalu lintas instans EC2, lihat [Enkripsi dalam Transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) di Panduan *Pengguna Amazon EC2*.
**catatan**
Enkripsi jaringan Nitro tidak berlaku untuk instans EC2 yang digunakan Amazon EVS. Amazon EVS tidak mendukung enkripsi lalu lintas antar host dalam transit.
### Opsi enkripsi dalam transit untuk konektivitas lokal
Untuk mengenkripsi lalu lintas antara pusat data lokal dan Amazon EVS, Anda dapat menggabungkan penggunaan Direct AWS Connect dan AWS Site-To-Site VPN dengan Transit Gateway AWS . Kombinasi ini menyediakan koneksi pribadi IPsec terenkripsi yang juga mengurangi biaya jaringan, meningkatkan throughput bandwidth, dan memberikan pengalaman jaringan yang lebih konsisten daripada koneksi VPN berbasis internet. Untuk informasi selengkapnya, lihat [AWS Site-to-Site VPN IP Pribadi dengan AWS Direct Connect](https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html).
**catatan**
Amazon EVS tidak mendukung konektivitas melalui antarmuka virtual pribadi AWS Direct Connect (VIF), atau melalui koneksi AWS Site-to-Site VPN yang berakhir langsung ke VPC underlay. Amazon EVS mendukung penghentian IPSec VPN pada gateway NSX Edge Tier-0 atau Tier-1. Untuk informasi selengkapnya, lihat [Menambahkan Layanan IPSec VPN NSX](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/vmware-nsx/4-1/administration-guide/virtual-private-network-vpn/adding-nsx-vpn-services/add-an-ipsec-vpn-service.html) di dokumentasi VMware NSX.
MAC Security (MACsec) adalah standar IEEE yang menyediakan kerahasiaan data, integritas data, dan keaslian asal data. Anda dapat menggunakan koneksi AWS Direct Connect yang mendukung MACsec untuk mengenkripsi data dari pusat data perusahaan ke lokasi AWS Direct Connect. Untuk informasi selengkapnya, lihat [Keamanan MAC di AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html) di *Panduan Pengguna AWS Direct Connect*.
### Enkripsi dalam perjalanan untuk data VMware jaringan
Setelah lingkungan Amazon EVS diterapkan, Anda memiliki beberapa opsi untuk menerapkan data dalam enkripsi transit di lapisan VCF: VMware
+ VMware vDefend Distributed Firewall - Memungkinkan Anda untuk menerapkan segmentasi jaringan halus dan menegakkan TLS/SSL enkripsi antara mesin virtual. Untuk informasi selengkapnya, lihat [Mengkonfigurasi Pengaturan Keamanan untuk Firewall Terdistribusi dengan Menggunakan Antarmuka Pengguna](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/security-and-compliance-configuration-for-vmware-cloud-foundation-5-2/securing-nsx-t-data-center/security-configurations-for-further-evaluation/configure-security-settings.html) dalam dokumentasi VMware VCF.
+ data-in-transitenkripsi vSan - Dapat digunakan untuk mengenkripsi semua data dan metadata antara host di cluster vSAN Anda. Untuk informasi selengkapnya, lihat [ Data-In-TransitEnkripsi vSAN](https://techdocs.broadcom.com/us/en/vmware-cis/vsan/vsan/8-0/vsan-administration/using-encryption-in-a-vsan-cluster-1/vsan-data-in-transit-encryption.html) di dokumentasi vSAN VMware .
+ VSphere terenkripsi vMotion - mengamankan kerahasiaan, integritas, dan keaslian data yang ditransfer dengan vSphere vMotion. Untuk informasi selengkapnya, lihat [Apa yang dienkripsi vSphere vMotion dalam dokumentasi vSphere](https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/vsphere-security-8-0/virtual-machine-encryption/encrypted-vsphere-vmotion.html).
## Manajemen kunci dan rahasia
Selama penyebaran lingkungan Amazon EVS, Amazon EVS menggunakan AWS Secrets Manager untuk membuat, mengenkripsi, dan menyimpan rahasia yang berisi kredensyal VCF yang diperlukan untuk menginstal dan mengakses peralatan manajemen VMware VCF, serta kata sandi root ESX. Amazon EVS juga menghapus rahasia terkelola atas nama Anda saat lingkungan EVS dihapus. Untuk informasi selengkapnya, lihat [Apa yang ada dalam rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/whats-in-a-secret.html) di *Panduan Pengguna AWS Secrets Manager*.
Secrets Manager menggunakan enkripsi amplop dengan AWS KMS kunci dan kunci data untuk melindungi setiap nilai rahasia. Kunci AWS terkelola default untuk Secrets Manager digunakan kecuali ditentukan lain. Atau, Anda dapat menentukan kunci yang dikelola pelanggan selama pembuatan lingkungan untuk mengenkripsi rahasia Anda. Untuk informasi selengkapnya, lihat [Enkripsi dan dekripsi AWS rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di *Panduan Pengguna AWS Secrets Manager*.
**catatan**
Ada biaya penggunaan tambahan untuk kunci yang dikelola pelanggan. Kunci AWS terkelola default disediakan tanpa biaya. Untuk informasi selengkapnya, lihat [Harga](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing) di *Panduan Pengguna AWS Secrets Manager*.
Amazon EVS tidak menyinkronkan kredensil antara Secrets Manager AWS dan perangkat lunak VCF pasca-penerapan. Anda bertanggung jawab untuk memastikan bahwa rahasia yang terkait dengan lingkungan Amazon EVS Anda tetap sinkron dengan kredensi di SDDC Manager untuk menghindari kedaluwarsa kata sandi VCF dan hilangnya akses ke perangkat lunak VCF.
Amazon EVS tidak memutar rahasia atas nama Anda. Anda bertanggung jawab untuk memutar rahasia yang terkait dengan lingkungan Anda. Kami sangat menyarankan agar putar rahasia Anda segera setelah lingkungan dibuat, dan terapkan jadwal rotasi untuk memperbarui rahasia Anda secara berkala. Untuk informasi selengkapnya tentang memutar AWS rahasia Secrets Manager, lihat fungsi [Rotasi oleh Lambda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_lambda.html) di Panduan Pengguna *Secrets AWS Manager*. Untuk informasi selengkapnya tentang manajemen kata sandi VCF, lihat [Manajemen Kata Sandi](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/4-5/administering/manage-passwords-admin.html) di dokumentasi VMware Cloud Foundation.
**penting**
Amazon EVS tidak menyinkronkan kredensil antara Secrets Manager AWS dan perangkat lunak VCF pasca-penerapan. Jika menggunakan AWS Secrets Manager pasca-penerapan, Anda harus tetap sinkron antara Secrets Manager AWS dan SDDC Manager untuk menghindari masalah kedaluwarsa kata sandi VCF. Anda mungkin kehilangan akses ke perangkat lunak VCF jika kredenal SDDC Manager tidak diperbarui.
**catatan**
Amazon EVS tidak menyediakan rotasi rahasia yang dikelola.
**catatan**
Ada biaya untuk menggunakan fungsi Lambda untuk rotasi AWS rahasia Secrets Manager. Untuk informasi selengkapnya, lihat [Harga](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing) di *Panduan Pengguna AWS Secrets Manager*.
## Privasi lalu lintas antarjaringan
Amazon EVS menggunakan VPC yang disediakan pelanggan untuk membuat batasan antara sumber daya di lingkungan Amazon EVS dan mengontrol lalu lintas di antara mereka, jaringan lokal Anda, dan internet. Untuk informasi selengkapnya tentang Amazon VPC keamanan, lihat [Memastikan privasi lalu lintas internetwork Amazon VPC di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) *Panduan Pengguna*.
Secara default, Amazon EVS membuat subnet VLAN pribadi selama pembuatan lingkungan yang menolak akses internet langsung. Untuk menambahkan lapisan keamanan lain ke VPC Anda, Anda dapat membuat daftar kontrol akses jaringan khusus untuk VPC Anda dengan aturan yang lebih membatasi konektivitas internet. Untuk informasi selengkapnya, lihat [Membuat ACL jaringan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html) di Panduan Pengguna *Amazon VPC*.
**penting**
Grup keamanan EC2 tidak berfungsi pada antarmuka jaringan elastis yang dilampirkan ke subnet Amazon EVS VLAN. Untuk mengontrol lalu lintas ke dan dari subnet Amazon EVS VLAN, Anda harus menggunakan daftar kontrol akses jaringan.
Jika Anda seorang administrator NSX, Anda dapat mengonfigurasi fitur NSX berikut untuk mengamankan lalu lintas jaringan:
+ VMware vDefend Gateway Firewall - Mengamankan perimeter jaringan, melindungi terhadap ancaman eksternal (lalu lintas utara-selatan). Untuk informasi selengkapnya, lihat [Menambahkan Kebijakan dan Aturan Firewall Gateway](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/nsxt-dc/3-2/administration-guide/security/gateway-firewall/add-a-gateway-firewall-policy-and-rule.html) dalam dokumentasi VMware NSX.
+ VMware vDefend Distributed Firewall - Melindungi terhadap serangan yang berasal dari dalam jaringan internal (lalu lintas timur-barat). Untuk informasi selengkapnya, lihat [Menambahkan Firewall Terdistribusi](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/nsxt-dc/3-2/administration-guide/security/distributed-firewall/add-a-distributed-firewall.html) di dokumentasi VMware NSX.