

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 EVS 中的数据保护
<a name="data-protection"></a>

[责任AWS 共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于亚马逊弹性 VMware 服务的数据保护。如本模型所述 AWS ，负责保护运行所有 AWS 云的全球基础架构。您有责任保持对托管在此基础架构上的内容的控制，包括 VMware 云基金会 (VCF) 组件。您还要负责所使用的安全配置和管理任务。 AWS 服务 有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq)。有关欧洲数据保护的信息，请参阅* AWS 安全博客上的[责任AWS 共担模型和 GDPR 博](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr)客文章*。

出于数据保护目的，我们建议您保护 AWS 账户 凭据并使用 AWS IAM Identity Center 或设置个人用户 AWS Identity and Access Management。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息，请参阅《* AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
**注意**  
Amazon EVS 不会记录非AWS 组件的用户活动，例如您的 VCF 环境中的活动。这些活动记录在各种 VMware 控制台中，例如 vSphere 和 NSX Manager。如果需要集中式 VCF 日志，则可以配置 VCF 监控解决方案（例如 A VMware ria Operations 或 Tan VMware zu Observability）来实现此结果。有关更多信息，请参阅 VCF 文档[中的 [VMware Cloud Foundation 和 Cloud F VMware oundation 模式下的 VMware Aria S VMware u](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/working-with-workload-management-admin.html) ite 生命周期](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/vrealize-suite-lifecycle-manager-in-cloud-foundation-admin.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务 Amazon Macie，例如，它有助于发现和保护存储在中的敏感数据 Amazon S3。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。

我们强烈建议您切勿将敏感的识别信息（例如客户的电子邮件地址）放入标签或自由格式的文本字段（例如 “**姓名**” 字段）中。这包括您使用控制台、API 或 AWS 服务 使用其他方式使用 Amazon EVS 或 AWS SDKs其他。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

## 静态加密
<a name="encryption-at-rest"></a>

Amazon EVS 部署 EC2 金属实例，默认情况下，这些实例对存储在实例存储卷上的数据使用透明 AES-256 加密。Amazon EVS 目前不支持 EBS 启动卷加密。

### 亚马逊 EBS 启动音量
<a name="encryption-at-rest-boot-volume"></a>

亚马逊 EVS 实例使用亚马逊 EBS 启动卷。启动卷包含操作系统和 EC2 实例启动和运行所需的其他文件。启动卷未加密。Amazon EVS 目前不支持启动卷加密。启动卷不包含来自虚拟机的用户数据。

### 实例存储卷
<a name="encryption-at-rest-instance-store-volume"></a>

Amazon EVS EC2 金属实例带有本地 NVMe SSD 存储，这是实例硬件的一部分。Amazon EVS 使用 NVMe 实例存储卷作为 vSAN 数据存储的磁盘。在您部署 Amazon EVS 环境后，vSAN 数据存储将保存您的管理和工作负载虚拟机。

 NVMe 实例存储卷上的数据使用 XTS-AES-256 密码进行加密，该密码在实例的硬件模块上实现。用于加密写入本地连接 NVMe 存储设备的数据的密钥是按客户和卷计算的。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[静态加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-rest)。

部署 Amazon EVS 环境后，您可以为存储在 data-at-rest vSAN 数据存储中的所有数据、单个虚拟机 VMs () 或其中的单个文件启用 vSAN 加密。 VMs当有些 VMs 需要加密而另一些则不要求加密时，或者当虚拟机中的特定磁盘或文件需要加密时，这种精细控制可能很有用。有关更多信息，[请参阅 vSAN 文档中的 v VMware SAN Data-At-Rest 加密的工作原理](https://techdocs.broadcom.com/us/en/vmware-cis/vsan/vsan/8-0/vsan-administration/using-encryption-in-a-vsan-cluster-1/vsan-data-at-rest-encryption/how-vsan-data-at-rest-encryption-works.html)。

## 传输中加密
<a name="encryption-in-transit"></a>

默认情况下，Amazon EVS 不会对您的传输流量进行加密。要对通过 Amazon EVS 传输的数据进行加密，您可以将应用程序层加密与传输层安全 (TLS) 等协议一起使用。要了解有关 EC2 实例流量加密的信息，请参阅 *Amazon EC2 用户指南*[中的传输中加](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)密。

**注意**  
Nitro 网络加密不适用于 Amazon EVS 部署的 EC2 实例。Amazon EVS 不支持对主机间流量进行传输加密。

### 用于本地连接的传输加密选项
<a name="encryption-in-transit-on-prem"></a>

要加密本地数据中心与 Amazon EVS 之间的流量，您可以将 Di AWS rect Connect 和 AWS Site-To-Site VPN 与 T AWS ransit Gateway 结合使用。这种组合提供了 IPsec加密的私有连接，与基于互联网的 VPN 连接相比，还可以降低网络成本，增加带宽吞吐量，并提供更稳定的网络体验。有关更多信息，请参阅[带有 Di AWS rect Connect 的私有 IP AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html)。

**注意**  
Amazon EVS 不支持通过 Di AWS rect Connect 私有虚拟接口 (VIF) 或直接终止到底层 VPC 的 AWS Site-to-Site VPN 连接进行连接。Amazon E IPSec VS 确实支持在 NSX Edge Tier-0 或 Tier-1 网关上终止 VPN。有关更多信息，请参阅 NSX [文档中的添加 NSX IPSec VPN 服务](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/vmware-nsx/4-1/administration-guide/virtual-private-network-vpn/adding-nsx-vpn-services/add-an-ipsec-vpn-service.html)。 VMware 

MAC Security (MACsec) 是一项 IEEE 标准，可提供数据机密性、数据完整性和数据来源真实性。您可以使用支持 MACsec 加密从公司数据中心到 Di AWS rect Connect 位置的数据的 Di AWS rect Connect 连接。有关更多信息，请参阅 Di [AWS rect Connect *用户指南中的 Dire AWS ct Connect* 中的 MAC 安全](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)。

### 对传输中的 VMware 网络数据进行加密
<a name="vcf-encryption-in-transit"></a>

部署 Amazon EVS 环境后，您可以通过多种方式在 VMware VCF 层强制执行传输中数据加密：
+ VMware vDefende 分布式防火墙-允许您实现精细的网络分段并在虚拟机之间强制 TLS/SSL 加密。有关更多信息，请参阅 VMware VCF 文档中的[使用用户界面为分布式防火墙配置安全设置](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/security-and-compliance-configuration-for-vmware-cloud-foundation-5-2/securing-nsx-t-data-center/security-configurations-for-further-evaluation/configure-security-settings.html)。
+ vSAN data-in-transit 加密-可用于加密 vSAN 群集中主机之间的所有数据和元数据。有关更多信息，请参阅 [vSAN 文档中的 v VMware SAN Data-In-Transit 加密](https://techdocs.broadcom.com/us/en/vmware-cis/vsan/vsan/8-0/vsan-administration/using-encryption-in-a-vsan-cluster-1/vsan-data-in-transit-encryption.html)。
+ 加密 vSphere vMotion-确保通过 vSphere vMotion 传输的数据的机密性、完整性和真实性。有关更多信息，请参阅《vSphere》文档[中的什么是加密 vSphere vMotion](https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/vsphere-security-8-0/virtual-machine-encryption/encrypted-vsphere-vmotion.html)。

## 密钥和机密管理
<a name="key-management"></a>

在 Amazon EVS 环境部署期间，Amazon EVS 使用 S AWS ecrets Manager 创建、加密和存储包含安装和访问 VCF 管理设备所需的 VMware VCF 凭证以及 ESX 根密码的密钥。删除 EVS 环境后，Amazon EVS 还会代表您删除托管密钥。有关更多信息，请参阅 S [ecrets Manager *用户指南中的 Secrets Manager AWS 密钥*中的内容](https://docs.aws.amazon.com/secretsmanager/latest/userguide/whats-in-a-secret.html)。

Secrets Manager 使用带有 AWS KMS 密钥和数据密钥的信封加密来保护每个密钥值。除非另有说明，否则将使用 Secrets Manager 的默认 AWS 托管密钥。或者，您可以在创建环境时指定客户托管密钥来加密您的密钥。有关更多信息，请参阅 S [ecr AWS ets Manager 用户指南中的 Secrets Manager 中的 AWS 密钥加密和](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)*解密*。

**注意**  
客户托管密钥需要支付额外的使用费。默认 AWS 托管密钥是免费提供的。有关更多信息，请参阅 S * AWS ecrets Manager 用户指南*中的[定价](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)。

部署后，Amazon EVS 不会在 S AWS ecrets Manager 和你的 VCF 软件之间同步证书。您有责任确保与您的 Amazon EVS 环境相关的机密与 SDDC 管理器中的凭证保持同步，以避免 VCF 密码过期和无法访问 VCF 软件。

Amazon EVS 不会代表您轮换机密。您负责轮换与您的环境相关的密钥。我们强烈建议您在创建环境后立即轮换您的密钥，并实施轮换计划以定期更新您的密钥。有关轮换 Secrets Manager AWS 密钥的更多信息，请参阅 Secret [s Man *ager 用户*指南中的按 Lambda 函数轮换](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_lambda.html)。 AWS 有关 VCF 密码管理的更多信息，请参阅 Cloud F VMware oundation 文档中的[密码管理](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/4-5/administering/manage-passwords-admin.html)。

**重要**  
部署后，Amazon EVS 不会在 S AWS ecrets Manager 和你的 VCF 软件之间同步证书。如果在部署后使用 S AWS ecrets Manager，则必须保持 S AWS ecrets Manager 和 SDDC Manager 之间的凭据同步，以避免 VCF 密码过期问题。如果 SDDC 管理员凭据未保持最新，则可能无法访问 VCF 软件。

**注意**  
Amazon EVS 不提供密钥的托管轮换。

**注意**  
使用 Lambda 函数进行 Secrets Manager AWS 密钥轮换需要付费。有关更多信息，请参阅 S * AWS ecrets Manager 用户指南*中的[定价](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)。

## 互联网络流量隐私
<a name="internetwork-traffic-privacy"></a>

Amazon EVS 使用客户提供的 VPC 在 Amazon EVS 环境中的资源之间创建边界，并控制这些资源、您的本地网络和互联网之间的流量。有关 Amazon VPC 安全的更多信息，请参阅《* Amazon VPC 用户指南》 Amazon VPC*[中的 “确保网际流量隐私](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)”。

默认情况下，Amazon EVS 会在创建环境时创建拒绝直接访问互联网的私有 VLAN 子网。要为您的 VPC 再增加一层安全保护，您可以为您的 VPC 创建自定义网络访问控制列表，其中包含进一步限制互联网连接的规则。有关更多信息，请参阅 *Amazon VPC 用户指南中的为您的 VPC* [创建网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html)。

**重要**  
EC2 安全组在连接到 Amazon EVS VLAN 子网的弹性网络接口上不起作用。要控制进出 Amazon EVS VLAN 子网的流量，您必须使用网络访问控制列表。

如果您是 NSX 管理员，则可以配置以下 NSX 功能来保护网络流量：
+ VMware vDefende 网关防火墙-保护网络边界，防范外部威胁（南北流量）。有关更多信息，请参阅 VMware NSX 文档中的[添加网关防火墙策略和规则](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/nsxt-dc/3-2/administration-guide/security/gateway-firewall/add-a-gateway-firewall-policy-and-rule.html)。
+ VMware vDefende 分布式防火墙-防范来自内部网络内部的攻击（东西向流量）。有关更多信息，请参阅 VMware NSX 文档中的[添加分布式防火墙](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/nsxt-dc/3-2/administration-guide/security/distributed-firewall/add-a-distributed-firewall.html)。