Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Il modello di responsabilità AWS condivisa modello
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Utilizza l'autenticazione a più fattori (MFA) con ogni account.
-
Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.
-
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
-
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
-
Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3
.
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Amazon EC2 o altri Servizi AWS utenti utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
Sicurezza dei dati di Amazon EBS
I volumi di Amazon EBS sono presentati come dispositivi a blocchi non elaborati e non formattati. Sono dispositivi logici creati sull'infrastruttura EBS e il servizio Amazon EBS garantisce che siano logicamente vuoti (ovvero che i blocchi non elaborati vengano azzerati o contengano dati crittograficamente pseudocasuali) prima di qualsiasi utilizzo o riutilizzo da parte di un cliente.
Se disponi di procedure che richiedono la cancellazione di tutti i dati usando un metodo specifico, dopo o prima dell'utilizzo (o in entrambi i casi), come quelli indicati in modo dettagliato in DoD 5220.22-M (National Industrial Security Program Operating Manual, Manuale operativo del programma nazionale di sicurezza industriale) o NIST 800-88 (Guidelines for Media Sanitization, Linee guida per la sanificazione dei supporti), hai la possibilità di eseguire questa operazione su Amazon EBS. Tale attività a livello di blocco si rifletterà sui supporti di archiviazione sottostanti all'interno del servizio Amazon EBS.
Crittografia a riposo
Volumi EBS
La crittografia Amazon EBS è una soluzione di crittografia per i volumi e gli snapshot EBS che utilizza AWS KMS keys. Per ulteriori informazioni, consulta Crittografia Amazon EBS nella Guida per l'utente di Amazon EBS.
[Istanze Windows] Puoi inoltre utilizzare le autorizzazioni Microsoft EFS e NTFS per la crittografia a livello di cartella e file.
Volumi di archivio dell'istanza
I dati sui volumi dell' NVMe Instance Store vengono crittografati utilizzando un codice XTS-AES-256, implementato su un modulo hardware sull'istanza. Le chiavi utilizzate per crittografare i dati scritti su dispositivi di storage collegati localmente NVMe sono per cliente e per volume. Le chiavi sono generate e risiedono solo all'interno del modulo hardware, che è inaccessibile al personale AWS . Quando l'istanza viene arrestata o terminata, le chiavi crittografiche vengono distrutte e non possono essere ripristinate. Non è possibile disattivare questa cifratura e non è possibile fornire una propria chiave crittografica.
I dati sui volumi di archivio istanza HDD nelle istanze H1, D3 e D3en vengono crittografati utilizzando XTS-AES-256 e chiavi monouso.
Quando arresti, sospendi o termini un'istanza, ogni blocco di archiviazione nel volume dell'archivio istanza viene ripristinato. Pertanto, non è possibile accedere ai dati attraverso l'instance store di un'altra istanza.
Memoria
La crittografia della memoria è abilitata nelle seguenti istanze:
-
Le istanze con processori AWS Graviton2 o versioni successive supportano la crittografia della memoria sempre attiva. AWS Le chiavi di crittografia vengono generate in modo sicuro all'interno del sistema host, non lasciano il sistema host e vengono distrutte quando l'host viene riavviato o spento. Per ulteriori informazioni, consulta la pagina Processori AWS Graviton
. -
Istanze con processori scalabili Intel Xeon di terza generazione (Ice Lake), come le istanze M6i, e processori scalabili Intel Xeon di quarta generazione (Sapphire Rapids), come le istanze M7i. Questi processori supportano la crittografia della memoria sempre attiva utilizzando Intel Total Memory Encryption (TME).
-
Istanze con processori AMD EPYC di terza generazione (Milan), come le istanze M6a, e processori AMD EPYC di quarta generazione (Genoa), come le istanze M7a. Questi processori supportano la crittografia della memoria sempre attiva utilizzando AMD Secure Memory Encryption (SME). Le istanze con processori AMD EPYC di terza generazione (Milan) supportano anche AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP).
Crittografia in transito
Crittografia a livello fisico
Tutti i dati che fluiscono tra le AWS regioni sulla rete AWS globale vengono automaticamente crittografati a livello fisico prima di lasciare le strutture protette. AWS Tutto il traffico intercorrente AZs è crittografato. Ulteriori livelli di crittografia, inclusi quelli elencati in questa sezione, possono fornire ulteriore protezione.
Crittografia fornita da peering di Amazon VPC e peering fra regioni Transit Gateway
Tutto il traffico tra regioni che utilizza il peering Amazon VPC e Transit Gateway viene automaticamente crittografato in massa quando esce da una regione. Un ulteriore livello di crittografia viene fornito automaticamente a livello fisico per tutto il traffico prima che lasci le strutture AWS protette, come indicato in precedenza in questa sezione.
Crittografia tra istanze
AWS fornisce una connettività sicura e privata tra EC2 istanze di tutti i tipi. Inoltre, alcuni tipi di istanza utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze. Questa crittografia utilizza algoritmi AEAD (Authenticated Encryption with Associated Data), con crittografia a 256 bit. Non vi è alcun impatto sulle prestazioni della rete. Per supportare questa crittografia aggiuntiva del traffico in transito tra istanze, è necessario soddisfare i seguenti requisiti:
-
Le istanze utilizzano i seguenti tipi di istanza:
-
Uso generico: M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8g
-
Elaborazione ottimizzata: C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8g
-
Memoria ottimizzata: R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iZ, R8g, U-3TB1, U-6TB1, U-9TB1, U-12TB1, U-24TB1, U7i-6 TB1, U7I-6 TB, U7 TB1 I-8 TB, U7i-12 TB, U7 in 16 TB, U7 in 24 TB, U7 in 32 TB, U7 in H-32 TB, X2IDN, X2iEDN, X2IEZn, X8G
-
Ottimizzate per l'archiviazione: D3, D3en, I3en, I4g, I4i, I7ie, I8g, Im4gn, Is4gen
-
Elaborazione accelerata: DL1 DL2q,, F2, G4ad, G4dn, G5, G6, G6e, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, P5en, Trn1, Trn1n, Trn2, Trn2u, VT1
-
High Performance Computing: Hpc6a, Hpc6id, Hpc7a, Hpc7g
-
-
Le istanze si trovano nella stessa regione.
-
Le istanze si trovano nello stesso VPC o VPCs peered e il traffico non passa attraverso un dispositivo o un servizio di rete virtuale, come un sistema di bilanciamento del carico o un gateway di transito.
Un ulteriore livello di crittografia viene fornito automaticamente a livello fisico per tutto il traffico prima che lasci le strutture AWS protette, come indicato in precedenza in questa sezione.
Per visualizzare i tipi di istanza che crittografano il traffico in transito tra istanze utilizzando la AWS CLI
Utilizza il seguente comando della describe-instance-types
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort
Crittografia da e verso AWS Outposts
Un Outpost crea connessioni di rete speciali chiamate collegamenti di servizio alla sua regione di AWS origine e, facoltativamente, connettività privata a una sottorete VPC specificata dall'utente. Tutto il traffico su tali connessioni è completamente crittografato. Per ulteriori informazioni, consulta Connettività tramite collegamenti per servizio e Crittografia in transito nella Guida per l'utente di AWS Outposts .
Crittografia dell'accesso remoto
I protocolli SSH e RDP forniscono canali di comunicazione sicuri per l'accesso remoto alle istanze, direttamente o tramite Instance Connect. EC2 L'accesso remoto alle istanze tramite AWS Systems Manager Session Manager o Run Command è crittografato utilizzando TLS 1.2 e le richieste di creazione di una connessione vengono firmate utilizzando SigV4, autenticate e autorizzate da. AWS Identity and Access Management
È tua responsabilità utilizzare un protocollo di crittografia, come Transport Layer Security (TLS), per crittografare i dati sensibili in transito tra i client e le tue istanze Amazon EC2 .
(Istanze Windows) Assicurati di consentire solo le connessioni crittografate tra le EC2 istanze e gli endpoint AWS API o altri servizi di rete remoti sensibili. È possibile applicare questa operazione tramite un gruppo di sicurezza in uscita o regole di Windows Firewall
