Proteção de dados no Amazon EC2
O modelo de responsabilidade compartilhada
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure a API e atividade do usuário logando com AWS CloudTrail. Para obter mais informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte Working with CloudTrail trails no Guia do Usuário do AWS CloudTrail.
-
Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso também vale para o uso do Amazon EC2 ou de outros Serviços da AWS com o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.
Segurança de dados do Amazon EBS
Os volumes do Amazon EBS são apresentados a você como dispositivos de bloco brutos e não formatados. Eles são dispositivos lógicos criados na infraestrutura do EBS, e o serviço Amazon EBS garante que os dispositivos estejam logicamente vazios (ou seja, os blocos brutos são zerados ou contêm dados pseudorrandomizados criptograficamente) antes de qualquer uso ou reutilização por um cliente.
Se você tiver procedimentos que exigem que todos os dados sejam apagados usando um método específico, após ou antes do uso (ou ambos), como aqueles detalhados em DoD 5220,22-M (Manual Operacional do Programa Nacional de Segurança Industrial) ou em NIST 800-88 (Diretrizes para higienização de mídia), será possível fazer isso no Amazon EBS. Essa atividade em nível de bloco será refletida na mídia de armazenamento subjacente dentro do serviço do Amazon EBS.
Criptografia em repouso
Volumes do EBS
A criptografia do Amazon EBS é uma solução de criptografia para snapshots e volumes do EBS. Ele usa a AWS KMS keys. Para obter mais informações, consulte Criptografia do Amazon EBS no Guia do usuário do Amazon EBS.
[Instâncias do Windows] Você também pode usar permissões do Microsoft EFS e do NTFS para criptografia em nível de pastas e de arquivos.
Volumes de armazenamento de instâncias
Os dados nos volumes de armazenamento de instâncias de NVMe são criptografados usando uma criptografia XTS-AES-256 implementada em um módulo de hardware na instância. As chaves usadas para criptografar dados gravados em dispositivos de armazenamento NVMe conectados localmente são por cliente e por volume. As chaves são geradas e residem apenas dentro do módulo de hardware, que é inacessível para o pessoal da AWS. As chaves de criptografia são destruídas quando a instância é interrompida ou encerrada e não podem ser recuperadas. Você não pode desativar essa criptografia e não pode fornecer sua própria chave de criptografia.
Os dados em volumes de armazenamento de instância HDD em instâncias H1, D3 e D3en são criptografados usando XTS-AES-256 e chaves de uso único.
Quando você interrompe, hiberna ou termina uma instância, cada bloco de armazenamento no volume do armazenamento de instância é redefinido. Portanto, seus dados não podem ser acessados por meio do armazenamento de instâncias de outra instância.
Memória
A criptografia de memória está habilitada nas seguintes instâncias:
-
Instâncias com processadores AWS Graviton. AWS O Graviton2, o AWS Graviton3 e o AWS Graviton3E são compatíveis com criptografia de memória sempre ativa. As chaves de criptografia são geradas com segurança dentro do sistema host, não saem do sistema host e são destruídas quando o host é reinicializado ou desligado. Para obter mais informações, consulte Processadores AWS Graviton
. -
Instâncias com processadores Intel Xeon Scalable de 3ª geração (Ice Lake), como instâncias M6i, e processadores Intel Xeon Scalable de 4ª geração (Sapphire Rapids), como instâncias M7i. Esses processadores são compatíveis com criptografia de memória sempre ativa usando a Intel Total Memory Encryption (TME).
-
Instâncias com processadores AMD EPYC de 3ª geração (Milan), como instâncias M6a, e processadores AMD EPYC de 4ª geração (Genoa), como instâncias M7a. Esses processadores são compatíveis com criptografia de memória always-on usando Secure Memory Encryption (SME) da AMD. Instâncias com processadores AMD EPYC de 3ª geração (Milan) também são compatíveis com Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) da AMD.
Criptografia em trânsito
Criptografia na camada física
Todos os dados fluindo pelas regiões da AWS por meio da rede global da AWS é automaticamente criptografada na camada física antes de sair das instalações seguras da AWS. Todo o tráfego entre AZs é criptografado. Camadas adicionais de criptografia, inclusive as listadas nesta seção, podem fornecer mais proteções.
Criptografia fornecida pelo emparelhamento da Amazon VPC e do Transit Gateway entre regiões
Todo o tráfego entre regiões que usa o emparelhamento da Amazon VPC e do Transit Gateway é automaticamente criptografado em massa ao sair de uma região. Uma camada adicional de criptografia é fornecida automaticamente à camada física para todo o tráfego antes que ele saia das instalações seguras da AWS, conforme observado anteriormente nesta seção.
Criptografia entre instâncias
A AWS fornece conectividade privada e segura entre instâncias do EC2 de todos os tipos. Além disso, alguns tipos de instância usam os recursos de descarregamento do hardware subjacente Nitro System para criptografar automaticamente o tráfego em trânsito entre instâncias. Essa criptografia usa algoritmos de criptografia autenticada com dados associados (AEAD) com criptografia de 256 bits. Não há impacto na performance da rede. Para oferecer suporte a essa criptografia adicional de tráfego em trânsito entre instâncias, os seguintes requisitos devem ser atendidos:
-
As instâncias utilizam os seguintes tipos de instância:
-
Uso geral: M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8g
-
Otimizada para computação: C5a, C5ad, C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8g
-
Otimizada para memória: R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iz, R8g, U-3tb1, U-6tb1, U-9tb1, U-12tb1, U-18tb1, U-24tb1, U7i-12tb, U7in-16tb, U7in-24tb, U7in-32tb, X2idn, X2iedn, X2iezn, X8g
-
Otimizada para armazenamento: D3, D3en, I3en, I4g, I4i, Im4gn e Is4gen
-
Com computação acelerada: DL1, DL2q, G4ad, G4dn, G5, G6, G6e, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, Trn1, Trn1n, VT1
-
Computação de alta performance: Hpc6a, Hpc6id, Hpc7a, Hpc7g
-
-
As instâncias estão na mesma região.
-
As instâncias estão na mesma VPC ou VPCs emparelhadas, e o tráfego não passa por um dispositivo ou serviço de rede virtual, como um balanceador de carga ou um gateway de trânsito.
Uma camada adicional de criptografia é fornecida automaticamente à camada física para todo o tráfego antes que ele saia das instalações seguras da AWS, conforme observado anteriormente nesta seção.
Para visualizar os tipos de instância que criptografam o tráfego em trânsito entre instâncias usando o AWS CLI
Use o comando describe-instance-types a seguir.
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort
Criptografia de e para o AWS Outposts
Um Outpost cria conexões de rede especiais chamadas links de serviço à região da AWS inicial e, opcionalmente, conectividade privada com uma sub-rede da VPC especificada. Todo o tráfego que passa por essas conexões é totalmente criptografado. Para obter mais informações, consulte Conectividade por meio de links de serviço e Criptografia em trânsito no Manual do usuário do AWS Outposts.
Criptografia de acesso remoto
Os protocolos SSH e RDP fornecem canais de comunicação seguros para acesso remoto às instâncias, seja diretamente, seja por meio do EC2 Instance Connect. O acesso remoto às instâncias usando o Gerenciador de Sessões ou o Run Command do AWS Systems Manager é criptografado usando TLS 1.2, e as solicitações para criar uma conexão são assinadas usando SigV4 e autenticadas e autorizadas pelo AWS Identity and Access Management.
É de sua responsabilidade usar um protocolo de criptografia, como o Transport Layer Security (TLS), para criptografar dados sigilosos em trânsito entre clientes e suas instâncias do Amazon EC2.
(Instâncias do Windows) Certifique-se de permitir somente conexões criptografadas entre as instâncias do EC2 e os endpoints da API da AWS ou outros serviços de rede remota confidenciais. Isso pode ser imposto por meio do uso de grupo de segurança de saída ou regras de Firewall do Windows