保管中の暗号化転送中の暗号化キーとシークレットの管理ネットワーク間のトラフィックのプライバシー

Amazon EVS でのデータ保護

AWS 責任共有モデルは、Amazon Elastic VMware Service でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての AWS クラウドを実行するグローバルインフラストラクチャを保護する責任があります。お客様は、VMware Cloud Foundation (VCF) コンポーネントなど、このインフラストラクチャでホストされているコンテンツの制御を維持する責任があります。また、 AWS のサービス使用するのセキュリティ設定および管理タスクについても責任を負います。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、 AWS セキュリティAWS ブログの責任共有モデルと GDPR ブログ記事を参照してください。

データ保護の目的で、 AWS アカウント認証情報を保護し、 AWS IAM アイデンティティセンターまたはを使用して個々のユーザーを設定することをお勧めします AWS Identity and Access Management。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

各アカウントで多要素認証 (MFA) を使用します。
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。証 CloudTrail 跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」のCloudTrail 「証跡の使用」を参照してください。

注記
Amazon EVS は、VPC 環境内のアクティビティなど、非AWS コンポーネントのユーザーアクティビティを記録しません。これらのアクティビティは、vSphere や NSX Manager などのさまざまな VMware コンソールに記録されます。一元化された VCF ログ記録が必要な場合は、VMware Aria Operations や VMware Tanzu Observability などの VCF モニタリングソリューションを設定して、この結果を実現できます。詳細については、VPC ドキュメントのVMware Cloud Foundation with VMware Tanzu」およびVMware Cloud Foundation モードの VMware Aria Suite Lifecyle」を参照してください。
AWS 暗号化ソリューションと、内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
などの高度なマネージドセキュリティサービスを使用して Amazon Macie、に保存されている機密データの検出と保護を支援します Amazon S3。
コマンドラインインターフェイスまたは API AWS を介してにアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

顧客の E メールアドレスなどの機密性の高い識別情報をタグや名前フィールドなどの自由形式のテキストフィールドに入力しないことを強くお勧めします。これは、コンソール、API、または SDK AWS のサービスを使用して Amazon EVS AWS CLIまたは他のを使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

保管中の暗号化

Amazon EVS は、インスタンスストアボリュームに保存されているデータに対して、デフォルトで透過的な AES-256 暗号化を使用する EC2 メタルインスタンスをデプロイします。Amazon EVS は、現時点では EBS ブートボリューム暗号化をサポートしていません。

Amazon EBS ブートボリューム

Amazon EVS インスタンスは Amazon EBS ブートボリュームを使用します。ブートボリュームには、オペレーティングシステムと、EC2 インスタンスを起動して実行するために必要なその他のファイルが含まれています。ブートボリュームは暗号化されません。Amazon EVS は、現時点ではブートボリューム暗号化をサポートしていません。ブートボリュームには、仮想マシンからのユーザーデータは含まれません。

インスタンスストアボリューム

Amazon EVS EC2 メタルインスタンスには、インスタンスのハードウェアの一部であるローカル NVMe SSD ストレージが付属しています。Amazon EVS は、NVMe インスタンスストアボリュームを vSAN データストアのディスクとして使用します。vSAN データストアは、Amazon EVS 環境をデプロイした後、管理仮想マシンとワークロード仮想マシンを保持します。

NVMe インスタンスストアボリューム内のデータは、インスタンスのハードウェアモジュールに実装されている XTS-AES-256 暗号を使用して暗号化されます。ローカルにアタッチされた NVMe ストレージデバイスに書き込まれるデータの暗号化に使用されるキーは、お客様ごと、およびボリュームごとです。詳細については、「Amazon EC2 ユーザーガイド」の「保管中の暗号化」を参照してください。

Amazon EVS 環境をデプロイした後、vSAN data-at-restデータの暗号化を有効にできます。 VMs このきめ細かな制御は、一部の VMsが暗号化を必要とするのに対し、そうでない VM や、VM 内の特定のディスクやファイルを暗号化する必要がある場合に役立ちます。詳細については、VMware vSAN ドキュメントの「vSAN Data-At-Rest Encryption の仕組み」を参照してください。

転送中の暗号化

Amazon EVS は、デフォルトでは転送中のトラフィックを暗号化しません。Amazon EVS を通過する転送中のデータを暗号化するには、Transport Layer Security (TLS) などのプロトコルでアプリケーションレイヤー暗号化を使用できます。EC2 インスタンストラフィックの暗号化の詳細については、Amazon EC2 ユーザーガイド」の「転送中の暗号化」を参照してください。

注記

Nitro ネットワーク暗号化は、Amazon EVS がデプロイする EC2 インスタンスには適用されません。Amazon EVS は、ホスト間トラフィックの転送中の暗号化をサポートしていません。

オンプレミス接続の転送時の暗号化オプション

オンプレミスデータセンターと Amazon EVS 間のトラフィックを暗号化するには、 AWS Direct Connect と AWS Site-To-Site VPN を AWS Transit Gateway と組み合わせて使用できます。この組み合わせにより、IPsec で暗号化されたプライベート接続が提供されます。これにより、ネットワークコストが削減され、帯域幅のスループットが向上し、インターネットベースの VPN 接続よりも一貫性のあるネットワーク体験が提供されます。詳細については、AWS 「Direct Connect を使用したプライベート IP AWS Site-to-Site VPN」を参照してください。

注記

Amazon EVS は、 AWS Direct Connect プライベート仮想インターフェイス (VIF) を介した接続、またはアンダーレイ VPC に直接終了する AWS Site-to-Site VPN 接続を介した接続をサポートしていません。Amazon EVS は、NSX Edge Tier-0 または Tier-1 ゲートウェイでの IPSec VPN 終了をサポートしています。詳細については、VMware NSX ドキュメントの「NSX IPSec VPN サービスの追加」を参照してください。

MAC Security (MACsec) は IEEE 標準の 1 つです。データの機密性、データの整合性、およびデータオリジンの信頼性を定義しています。MACsec をサポートする AWS Direct Connect 接続を使用して、企業のデータセンターから AWS Direct Connect ロケーションにデータを暗号化できます。詳細については、AWS 「 Direct Connect ユーザーガイド」の「Direct Connect での MAC セキュリティ」を参照してください。 AWS

VMware ネットワークデータの転送中の暗号化

Amazon EVS 環境がデプロイされたら、VMware VCF レイヤーで転送中のデータの暗号化を強制する複数のオプションがあります。

VMware vDefend Distributed Firewall - きめ細かなネットワークセグメンテーションを実装し、仮想マシン間で TLS/SSL 暗号化を適用できます。詳細については、VMware VCF ドキュメントの「ユーザーインターフェイスを使用して分散ファイアウォールのセキュリティ設定を構成する」を参照してください。
vSAN data-in-transit暗号化 - vSAN クラスター内のホスト間のすべてのデータとメタデータを暗号化するために使用できます。詳細については、VMware vSAN ドキュメントの「vSAN Data-In-Transit Encryption」を参照してください。
暗号化された vSphere vMotion - vSphere vMotion で転送されるデータの機密性、完全性、信頼性を保護します。詳細については、vSphere ドキュメントの「暗号化された vSphere vMotion とは」を参照してください。 vSphere

キーとシークレットの管理

Amazon EVS 環境のデプロイ中、Amazon EVS は AWS Secrets Manager を使用して、VMware VCF 管理アプライアンスのインストールとアクセスに必要な VCF 認証情報と ESX ルートパスワードを含むシークレットを作成、暗号化、保存します。Amazon EVS は、EVS 環境が削除されると、ユーザーに代わってマネージドシークレットも削除します。詳細については、「 Secrets Manager ユーザーガイド」の「Secrets Manager シークレットの内容 AWS 」を参照してください。

Secrets Manager は AWS KMS 、キーとデータキーによるエンベロープ暗号化を使用して各シークレット値を保護します。特に指定がない限り、Secrets Manager のデフォルトの AWS マネージドキーが使用されます。または、環境の作成時にカスタマーマネージドキーを指定して、シークレットを暗号化することもできます。詳細については、「 Secrets Manager ユーザーガイド」の AWS 「Secrets Manager でのシークレットの暗号化と復号」を参照してください。 AWS

注記

カスタマーマネージドキーには追加料金がかかります。デフォルトの AWS マネージドキーは無料で提供されます。詳細については、 AWS Secrets Manager ユーザーガイドの「料金表」を参照してください。

Amazon EVS は、デプロイ後に AWS Secrets Manager と VCF ソフトウェアの間で認証情報を同期しません。VCF パスワードの有効期限が切れたり、VPC ソフトウェアにアクセスできなくなったりしないように、Amazon EVS 環境に関連付けられたシークレットが SDDC Manager の認証情報と同期されていることを確認する責任があります。

Amazon EVS はユーザーに代わってシークレットを更新しません。環境に関連付けられたシークレットをローテーションする責任があります。環境が作成されたらすぐにシークレットを更新し、定期的にシークレットを更新するためのローテーションスケジュールを実装することを強くお勧めします。 AWS Secrets Manager シークレットのローテーションの詳細については、Secrets Manager ユーザーガイドの「Lambda 関数によるローテーション」を参照してください。 AWS VCF パスワード管理の詳細については、VMware Cloud Foundation ドキュメントの「パスワード管理」を参照してください。

重要

Amazon EVS は、デプロイ後に AWS Secrets Manager と VCF ソフトウェアの間で認証情報を同期しません。デプロイ後に AWS Secrets Manager を使用する場合は、VPC パスワードの有効期限の問題を回避するために、 AWS Secrets Manager と SDDC Manager の間の認証情報を同期させる必要があります。SDDC Manager の認証情報が最新でない場合、VPC ソフトウェアにアクセスできなくなる可能性があります。

注記

Amazon EVS はシークレットのマネージドローテーションを提供しません。

注記

AWS Secrets Manager シークレットローテーションに Lambda 関数を使用するにはコストがかかります。詳細については、 AWS Secrets Manager ユーザーガイドの「料金表」を参照してください。

ネットワーク間のトラフィックのプライバシー

Amazon EVS は、お客様が用意した VPC を使用して、Amazon EVS 環境内のリソース間の境界を作成し、リソース、オンプレミスネットワーク、インターネット間のトラフィックを制御します。 Amazon VPC セキュリティの詳細については、「 Amazon VPC ユーザーガイド」の「でインターネットネットワークトラフィックのプライバシー Amazon VPCを確保する」を参照してください。

デフォルトでは、Amazon EVS は環境の作成時に直接インターネットアクセスを拒否するプライベート VLAN サブネットを作成します。VPC に別のセキュリティレイヤーを追加するには、インターネット接続をさらに制限するルールを使用して、VPC のカスタムネットワークアクセスコントロールリストを作成できます。詳細については、「Amazon VPC ユーザーガイド」の「VPC のネットワーク ACL を作成する」を参照してください。

重要

EC2 セキュリティグループは、Amazon EVS VLAN サブネットにアタッチされている Elastic Network Interface では機能しません。Amazon EVS VLAN サブネットとの間のトラフィックを制御するには、ネットワークアクセスコントロールリストを使用する必要があります。

NSX 管理者の場合は、ネットワークトラフィックを保護するために次の NSX 機能を設定できます。

VMware vDefend Gateway Firewall - ネットワーク境界を保護し、外部の脅威 (南北トラフィック) から保護します。詳細については、VMware NSX ドキュメントの「ゲートウェイファイアウォールポリシーとルールを追加する」を参照してください。
VMware vDefend Distributed Firewall - 内部ネットワーク内 (東西トラフィック) から発生する攻撃から保護します。詳細については、VMware NSX ドキュメントの「分散ファイアウォールの追加」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティ

ID とアクセス管理