As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no Amazon EVS
O modelo de responsabilidade AWS compartilhada
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management. Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
nota
O Amazon EVS não registra a atividade do usuário para não AWS componentes, como a atividade em seu ambiente VCF. Essas atividades são registradas em vários VMware consoles, como o vSphere e o NSX Manager. Se desejar um registro centralizado de VCF, você pode configurar soluções de monitoramento de VCF, como VMware Aria Operations ou VMware Tanzu Observability, para alcançar esse resultado. Para obter mais informações, consulte VMware Cloud Foundation com VMware Tanzu
e VMware Aria Suite Lifecyle no modo VMware Cloud Foundation na documentação do VCF. -
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços de segurança gerenciados avançados Amazon Macie, como, que ajudam a descobrir e proteger dados confidenciais armazenados em. Amazon S3
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que você nunca coloque informações de identificação confidenciais, como os endereços de e-mail de seus clientes, em tags ou campos de texto de formato livre, como o campo Nome. Isso inclui quando você trabalha com o Amazon EVS ou outro Serviços da AWS usando o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Criptografia em repouso
O Amazon EVS implanta instâncias metálicas do EC2 que usam criptografia AES-256 transparente por padrão para dados armazenados no volume de armazenamento da instância. No momento, o Amazon EVS não oferece suporte à criptografia do volume de inicialização do EBS.
Volume de inicialização do Amazon EBS
As instâncias do Amazon EVS usam um volume de inicialização do Amazon EBS. O volume de inicialização contém o sistema operacional e outros arquivos necessários para que a instância EC2 seja inicializada e executada. O volume de inicialização não está criptografado. No momento, o Amazon EVS não oferece suporte à criptografia do volume de inicialização. O volume de inicialização não contém dados do usuário de suas máquinas virtuais.
Volumes de armazenamento de instâncias
As instâncias metálicas EC2 do Amazon EVS vêm com armazenamento NVMe SSD local, que faz parte do hardware da instância. O Amazon EVS usa volumes de armazenamento de NVMe instâncias como discos para datastores vSAN. O armazenamento de dados vSAN mantém suas máquinas virtuais de gerenciamento e carga de trabalho depois que você implanta seu ambiente Amazon EVS.
Os dados nos volumes de armazenamento da NVMe instância são criptografados usando uma cifra XTS-AES-256, implementada em um módulo de hardware na instância. As chaves usadas para criptografar dados gravados em dispositivos de NVMe armazenamento conectados localmente são por cliente e por volume. Para ter mais informações, consulte Criptografia em repouso no Guia do usuário do Amazon EC2.
Depois de implantar o ambiente Amazon EVS, você pode habilitar a criptografia data-at-rest vSAN para todos os dados armazenados no datastore vSAN, para máquinas virtuais individuais VMs () ou para arquivos individuais contidos nele. VMs Esse controle granular pode ser útil quando alguns VMs exigem criptografia e outros não, ou quando discos ou arquivos específicos em uma VM precisam ser criptografados. Para obter mais informações, consulte Como funciona a Data-At-Rest criptografia do vSAN na documentação
Criptografia em trânsito
O Amazon EVS não criptografa seu tráfego em trânsito por padrão. Para criptografar os dados em trânsito que atravessam o Amazon EVS, você pode usar a criptografia da camada de aplicação com um protocolo como o Transport Layer Security (TLS). Para saber mais sobre a criptografia de tráfego de instâncias do EC2, consulte Criptografia em trânsito no Guia do usuário do Amazon EC2.
nota
A criptografia de rede Nitro não se aplica às instâncias EC2 que o Amazon EVS implanta. O Amazon EVS não oferece suporte à criptografia em trânsito do tráfego entre hosts.
Opções de criptografia em trânsito para conectividade local
Para criptografar o tráfego entre seu datacenter local e o Amazon EVS, você pode combinar o uso do AWS Direct Connect e da AWS Site-To-Site VPN com o Transit Gateway AWS . Essa combinação fornece uma conexão privada IPsec criptografada que também reduz os custos da rede, aumenta a taxa de transferência da largura de banda e fornece uma experiência de rede mais consistente do que as conexões VPN baseadas na Internet. Para obter mais informações, consulte AWS Site-to-Site VPN IP privada com AWS Direct Connect.
nota
O Amazon EVS não oferece suporte à conectividade por meio de uma interface virtual privada (VIF) do AWS Direct Connect ou por meio de uma conexão AWS Site-to-Site VPN que termina diretamente na VPC subjacente. O Amazon EVS oferece suporte à terminação de IPSec VPN no gateway NSX Edge de nível 0 ou nível 1. Para obter mais informações, consulte Adicionar um serviço NSX IPSec VPN
O MAC Security (MACsec) é um padrão IEEE que fornece confidencialidade, integridade e autenticidade da origem dos dados. Você pode usar conexões AWS Direct Connect que oferecem suporte MACsec para criptografar seus dados do data center corporativo até o local do AWS Direct Connect. Para obter mais informações, consulte Segurança MAC no AWS Direct Connect no Guia do usuário do AWS Direct Connect.
Criptografia em trânsito para dados VMware de rede
Após a implantação do ambiente Amazon EVS, você tem várias opções para aplicar a criptografia de dados em trânsito na camada VCF: VMware
-
VMware Firewall distribuído vDefend - permite que você implemente uma segmentação de rede refinada e imponha a criptografia entre TLS/SSL máquinas virtuais. Para obter mais informações, consulte Definir configurações de segurança para firewall distribuído usando a interface do usuário
na documentação do VMware VCF. -
data-in-transitCriptografia vSAN - pode ser usada para criptografar todos os dados e metadados entre os hosts em seu cluster vSAN. Para obter mais informações, consulte vSAN Data-In-Transit Encryption na documentação
do vSAN VMware . -
vSphere vMotion criptografado - garante a confidencialidade, integridade e autenticidade dos dados que são transferidos com o vSphere vMotion. Para obter mais informações, consulte O que é o vSphere vMotion criptografado na documentação do vSphere
.
Gerenciamento de chaves e segredos
Durante a implantação do ambiente Amazon EVS, o Amazon EVS usa o AWS Secrets Manager para criar, criptografar e armazenar segredos que contêm as credenciais do VCF necessárias para instalar e acessar os dispositivos de gerenciamento do VMware VCF, bem como a senha raiz do ESX. O Amazon EVS também exclui segredos gerenciados em seu nome quando o ambiente EVS é excluído. Para obter mais informações, consulte O que há em um segredo do Secrets Manager no Guia do Usuário do AWS Secrets Manager.
O Secrets Manager usa criptografia de envelope com AWS KMS chaves e chaves de dados para proteger cada valor secreto. A chave AWS gerenciada padrão do Secrets Manager é usada, a menos que especificado de outra forma. Como alternativa, você pode especificar uma chave gerenciada pelo cliente durante a criação do ambiente para criptografar seus segredos. Para obter mais informações, consulte Criptografia e descriptografia secretas no AWS Secrets Manager no Guia do usuário do AWS Secrets Manager.
nota
Há cobranças adicionais de uso das chaves gerenciadas pelo cliente. A chave AWS gerenciada padrão é fornecida sem nenhum custo. Para obter mais informações, consulte Preços no Guia do Usuário do AWS Secrets Manager.
O Amazon EVS não sincroniza credenciais entre o AWS Secrets Manager e seu software VCF após a implantação. Você é responsável por garantir que os segredos associados ao seu ambiente Amazon EVS sejam mantidos em sincronia com as credenciais no SDDC Manager para evitar a expiração da senha do VCF e a perda de acesso ao software do VCF.
O Amazon EVS não troca segredos em seu nome. Você é responsável por alternar os segredos associados ao seu ambiente. É altamente recomendável alternar seus segredos assim que o ambiente for criado e implementar um cronograma de rotação para atualizá-los em intervalos regulares. Para obter mais informações sobre a rotação de AWS segredos do Secrets Manager, consulte a função Rotation by Lambda no Guia do usuário AWS do Secrets Manager. Para obter mais informações sobre o gerenciamento de senhas do VCF, consulte Gerenciamento de senhas
Importante
O Amazon EVS não sincroniza credenciais entre o AWS Secrets Manager e seu software VCF após a implantação. Se estiver usando o AWS Secrets Manager após a implantação, você deve manter as credenciais entre o AWS Secrets Manager e o SDDC Manager sincronizadas para evitar problemas de expiração da senha do VCF. Você pode perder o acesso ao software VCF se as credenciais do SDDC Manager não forem mantidas atualizadas.
nota
O Amazon EVS não fornece rotação gerenciada de segredos.
nota
Há custos em usar uma função Lambda para a rotação secreta do AWS Secrets Manager. Para obter mais informações, consulte Preços no Guia do Usuário do AWS Secrets Manager.
Privacidade do tráfego entre redes
O Amazon EVS usa uma VPC fornecida pelo cliente para criar limites entre os recursos no ambiente do Amazon EVS e controlar o tráfego entre eles, sua rede local e a Internet. Para obter mais informações sobre Amazon VPC segurança, consulte Garantir a privacidade do tráfego entre redes Amazon VPC no Guia do Amazon VPC usuário.
Por padrão, o Amazon EVS cria sub-redes VLAN privadas durante a criação do ambiente que negam acesso direto à Internet. Para adicionar outra camada de segurança à sua VPC, você pode criar uma lista personalizada de controle de acesso à rede para sua VPC com regras que restringem ainda mais a conectividade com a Internet. Para obter mais informações, consulte Criar uma rede ACL para sua VPC no Guia do usuário da Amazon VPC.
Importante
Os grupos de segurança do EC2 não funcionam em interfaces de rede elásticas conectadas às sub-redes VLAN do Amazon EVS. Para controlar o tráfego de e para as sub-redes VLAN do Amazon EVS, você deve usar uma lista de controle de acesso à rede.
Se você for administrador do NSX, poderá configurar os seguintes recursos do NSX para proteger o tráfego de rede:
-
VMware Firewall vDefend Gateway - Protege o perímetro da rede, protegendo contra ameaças externas (tráfego norte-sul). Para obter mais informações, consulte Adicionar uma política e regra de firewall de gateway
na documentação do VMware NSX. -
VMware Firewall distribuído vDefend - Protege contra ataques originados de uma rede interna (tráfego leste-oeste). Para obter mais informações, consulte Adicionar um firewall distribuído
na documentação do VMware NSX.
