View a markdown version of this page

Protezione dei dati in Amazon EC2 - Amazon Elastic Compute Cloud
Sicurezza dei dati di Amazon EBSCrittografia dei dati a riposoCrittografia dei dati in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon EC2

Il modello di si applica alla protezione dei dati in Amazon Elastic Compute Cloud. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta Domande frequenti sulla privacy dei dati . Per informazioni sulla protezione dei dati in Europa, consulta il General Data Protection Regulation (GDPR) Center.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l’autenticazione a più fattori (MFA) con ogni account.

  • SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Amazon EC2 o altro Servizi AWS utilizzando la console, l'API o AWS gli AWS CLI SDK. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Sicurezza dei dati di Amazon EBS

I volumi di Amazon EBS sono presentati come dispositivi a blocchi non elaborati e non formattati. Sono dispositivi logici creati sull'infrastruttura EBS e il servizio Amazon EBS garantisce che siano logicamente vuoti (ovvero che i blocchi non elaborati vengano azzerati o contengano dati crittograficamente pseudocasuali) prima di qualsiasi utilizzo o riutilizzo da parte di un cliente.

Se disponi di procedure che richiedono la cancellazione di tutti i dati usando un metodo specifico, dopo o prima dell'utilizzo (o in entrambi i casi), come quelli indicati in modo dettagliato in DoD 5220.22-M (National Industrial Security Program Operating Manual, Manuale operativo del programma nazionale di sicurezza industriale) o NIST 800-88 (Guidelines for Media Sanitization, Linee guida per la sanificazione dei supporti), hai la possibilità di eseguire questa operazione su Amazon EBS. Tale attività a livello di blocco si rifletterà sui supporti di archiviazione sottostanti all'interno del servizio Amazon EBS.

Crittografia dei dati a riposo

Volumi EBS

La crittografia Amazon EBS è una soluzione di crittografia per i volumi e gli snapshot EBS che utilizza AWS KMS keys. Per ulteriori informazioni, consulta Crittografia Amazon EBS nella Guida per l'utente di Amazon EBS.

[Istanze Windows] Puoi inoltre utilizzare le autorizzazioni Microsoft EFS e NTFS per la crittografia a livello di cartella e file.

Volumi di archivio dell'istanza

I dati sui volumi dell'instance store NVMe vengono crittografati utilizzando un XTS-AES-256 codice, implementato su un modulo hardware sull'istanza. Le chiavi utilizzate per crittografare i dati scritti sui dispositivi di archiviazione NVMe collegati localmente sono per cliente e per volume. Le chiavi sono generate e risiedono solo all'interno del modulo hardware, che è inaccessibile al personale AWS . Quando l'istanza viene arrestata o terminata, le chiavi crittografiche vengono distrutte e non possono essere ripristinate. Non è possibile disattivare questa cifratura e non è possibile fornire una propria chiave crittografica.

I dati sui volumi di archiviazione delle istanze HDD sulle istanze H1, D3 e D3en vengono crittografati utilizzando chiavi monouso. XTS-AES-256

Quando arresti, sospendi o termini un'istanza, ogni blocco di archiviazione nel volume dell'archivio istanza viene ripristinato. Pertanto, non è possibile accedere ai dati attraverso l'instance store di un'altra istanza.

Memoria

La crittografia della memoria è abilitata nelle seguenti istanze:

  • Le istanze con processori AWS Graviton2 o successivi Graviton supportano la crittografia della memoria sempre attiva. AWS Le chiavi di crittografia vengono generate in modo sicuro all'interno del sistema host, non lasciano il sistema host e vengono distrutte quando l'host viene riavviato o spento. Per ulteriori informazioni, consulta la pagina Processori AWS Graviton.

  • Istanze con processori scalabili Intel Xeon di terza generazione (Ice Lake), come le istanze M6i, e processori scalabili Intel Xeon di quarta generazione (Sapphire Rapids), come le istanze M7i. Questi processori supportano la crittografia della memoria sempre attiva utilizzando Intel Total Memory Encryption (TME).

  • Istanze con processori AMD EPYC di terza generazione (Milan), come le istanze M6a, e processori AMD EPYC di quarta generazione (Genoa), come le istanze M7a. Questi processori supportano la crittografia della memoria sempre attiva utilizzando AMD Secure Memory Encryption (SME).

  • AMD Secure Encrypted Virtualization-Secure Nested Paging () è supportato per alcuni tipi di istanze. SEV-SNP AMD-based Per ulteriori informazioni, consulta Trova tipi di EC2 istanze che supportano AMD SEV-SNP.

Crittografia dei dati in transito

Crittografia a livello fisico

Tutti i dati che fluiscono tra AWS le regioni sulla rete AWS globale vengono automaticamente crittografati a livello fisico prima di lasciare le AWS strutture protette. Tutto il traffico tra le AZ è crittografato. Ulteriori livelli di crittografia, inclusi quelli elencati in questa sezione, possono fornire ulteriore protezione.

Crittografia fornita da peering di Amazon VPC e peering fra regioni Transit Gateway

Tutto il traffico tra regioni che utilizza il peering Amazon VPC e Transit Gateway viene automaticamente crittografato in massa quando esce da una regione. Un ulteriore livello di crittografia viene fornito automaticamente a livello fisico per tutto il traffico prima che lasci le strutture AWS protette, come indicato in precedenza in questa sezione.

Crittografia tra istanze

AWS fornisce una connettività sicura e privata tra istanze EC2 di tutti i tipi. Inoltre, alcuni tipi di istanza utilizzano le funzionalità di offload dell'hardware Nitro System sottostante per crittografare automaticamente il traffico in transito tra le istanze. Questa crittografia utilizza algoritmi AEAD (Authenticated Encryption with Associated Data), con crittografia a 256 bit. Non vi è alcun impatto sulle prestazioni della rete. Per supportare questa crittografia aggiuntiva del traffico in transito tra istanze, è necessario soddisfare i seguenti requisiti:

  • Le istanze utilizzano i seguenti tipi di istanza:

    • Uso generale: M5dn, M5n, M5zn, M6a, M6i, M6iD, M6idn, M6in, M7a, M7g, M7gd, M7i, M8a, M8aZn, M8g, M8Gb, M8gn, M8i, M8iD, M8in M7i-flex, M8in, M8iDn, M8iNe, M8iDB,, M8i-flex Mac-m4 Mac-m4pro

    • Elaborazione ottimizzata: C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn C7i-flex, C7i,, C8a, C8g, C8gd, C8gn, C8i, C8id C8i-flex, C8in, C8ine, C8ib

    • Memoria ottimizzata: R5dn, R5n, R6a, R6i, R6id, R6idn, R6in, R7a, R7g, R7gd, R7i, R7iZ, R8a, R8g, R8GB, R8gd, R8gn, R8i, R8id, R8in, R8id, R8in, R8idn, R8id Ib R8i-flex, R8IDb,,,,,,,,,,,, X2idn U-3tb1, X2iEdn U-6tb1 U-9tb1 U-12tb1 U-18tb1 U-24tb1, X2iEzn U7i-6tb U7i-8tb U7i-12tb U7in-16tb, X8G U7in-24tb U7in-32tb U7inh-32tb, X8AEDz, X8i

    • Ottimizzate per l’archiviazione: D3, D3en, I3en, I4g, I4i, I7i, I7ie, I8g, I8ge, Im4gn, Is4gen

    • Elaborazione accelerata: DL1, DL2q, F2, G4ad, G4dn, G5, G6, G6e, G6f, Gr6, Gr6f, G7e, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, P5en,,, P6-B200, Trn1 P6-B300 P6e-GB200, Trn1n, Trn2, Trn2, Trn2e U, VT1

    • High-performance elaborazione: HPC6a, HPC6id, HPC7a, HPC7g, HPC8a

  • Le istanze si trovano nella stessa regione.

  • Le istanze si trovano nello stesso VPC o VPC con peering e il traffico non passa attraverso un dispositivo di rete virtuale, ad esempio un load balancer (load balancer) o un Transit Gateway.

Un ulteriore livello di crittografia viene fornito automaticamente a livello fisico per tutto il traffico prima che lasci le strutture protette, come indicato in precedenza in questa sezione. AWS

Per visualizzare i tipi di istanze che crittografano il traffico in transito tra le istanze, utilizza il AWS CLI

Utilizza il seguente comando: describe-instance-types.

aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
Crittografia da e verso AWS Outposts

Un Outpost crea connessioni di rete speciali chiamate collegamenti di servizio alla sua regione di AWS origine e, facoltativamente, connettività privata a una sottorete VPC specificata dall'utente. Tutto il traffico su tali connessioni è completamente crittografato. Per ulteriori informazioni, consulta Connettività tramite collegamenti per servizio e Crittografia in transito nella Guida per l'utente di AWS Outposts .

Crittografia dell'accesso remoto

I protocolli SSH e RDP forniscono canali di comunicazione sicuri per l'accesso remoto alle istanze, sia direttamente che tramite EC2 Instance Connect. L'accesso remoto alle istanze tramite AWS Systems Manager Session Manager o Run Command è crittografato utilizzando TLS 1.2 e le richieste di creazione di una connessione vengono firmate utilizzando SigV4, autenticate e autorizzate da. AWS Identity and Access Management

È responsabilità dell'utente utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e le istanze Amazon EC2.

(Istanze Windows) Assicurati di consentire solo connessioni crittografate tra istanze EC2 e gli endpoint API AWS o altri servizi di rete remota sensibili. È possibile applicare questa operazione tramite un gruppo di sicurezza in uscita o regole di Windows Firewall.