本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EVS 中的資料保護
[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon Elastic VMware Service 中的資料保護。如此模型所述, AWS 負責保護執行所有 AWS 雲端的 全球基礎設施。您有責任控制在此基礎設施上託管的內容,包括 VMware Cloud Foundation (VCF) 元件。您也必須負責 AWS 服務 您使用之 的安全組態和管理任務。如需有關資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq)。如需歐洲資料保護的相關資訊,請參閱安全[AWS 部落格上的共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) 部落格文章。 * AWS *
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 設定個別使用者 AWS Identity and Access Management。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 線索擷取 AWS 活動的資訊,請參閱* AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
**注意**
Amazon EVS 不會記錄非AWS 元件的使用者活動,例如 VCF 環境中的活動。這些活動會記錄在各種 VMware 主控台中,例如 vSphere 和 NSX Manager。如果需要集中式 VCF 記錄,您可以設定 VCF 監控解決方案,例如 VMware Aria Operations 或 VMware Tanzu 可觀測性,以實現此結果。如需詳細資訊,請參閱 VCF 文件中的 [VMware Cloud Foundation with VMware Tanzu](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/working-with-workload-management-admin.html) and [VMware Aria Suite Lifecyle in VMware Cloud Foundation mode](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/vrealize-suite-lifecycle-manager-in-cloud-foundation-admin.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階受管安全服務 Amazon Macie,例如 ,協助探索和保護存放在其中的敏感資料 Amazon S3。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將敏感的識別資訊,例如客戶的電子郵件地址,放入標籤或任意格式的文字欄位中,例如**名稱**欄位。這包括當您 AWS 服務 使用 Amazon EVS 或使用主控台、API AWS CLI或 AWS SDKs的其他 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## 靜態加密
根據預設,Amazon EVS 會針對存放在執行個體存放區磁碟區上的資料部署使用透明 AES-256 加密的 EC2 金屬執行個體。Amazon EVS 目前不支援 EBS 開機磁碟區加密。
### Amazon EBS 開機磁碟區
Amazon EVS 執行個體使用 Amazon EBS 開機磁碟區。開機磁碟區包含作業系統和其他必要檔案,以供 EC2 執行個體開機和執行。開機磁碟區未加密。Amazon EVS 目前不支援開機磁碟區加密。開機磁碟區不包含來自虛擬機器的使用者資料。
### 執行個體儲存體磁碟區
Amazon EVS EC2 金屬執行個體隨附本機 NVMe SSD 儲存體,這是執行個體硬體的一部分。Amazon EVS 使用 NVMe 執行個體存放區磁碟區做為 vSAN 資料存放區的磁碟。在您部署 Amazon EVS 環境之後,vSAN 資料存放區會保留您的管理和工作負載虛擬機器。
NVMe 執行個體儲存體磁碟區上的資料會以執行個體上的硬體模組中實作的 XTS-AES-256 區塊編碼器來加密。用於加密寫入本機連接 NVMe 儲存裝置之資料的金鑰是依客戶和磁碟區而定。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[靜態加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-rest)。
部署 Amazon EVS 環境之後,您可以為 vSAN 資料存放區中存放的所有資料、個別虛擬機器 (VMs) 或 VMs 中的個別檔案啟用 vSAN data-at-rest資料加密。當某些 VMs 需要加密,而其他則不需要加密,或當 VM 中的特定磁碟或檔案需要加密時,此精細控制非常有用。如需詳細資訊,請參閱 VMware [vSAN 文件中的 vSAN Data-At-Rest Encryption 如何運作](https://techdocs.broadcom.com/us/en/vmware-cis/vsan/vsan/8-0/vsan-administration/using-encryption-in-a-vsan-cluster-1/vsan-data-at-rest-encryption/how-vsan-data-at-rest-encryption-works.html)。
## 傳輸中加密
根據預設,Amazon EVS 不會加密傳輸中流量。若要加密周遊 Amazon EVS 的傳輸中資料,您可以使用應用程式層加密搭配 Transport Layer Security (TLS) 等通訊協定。若要了解 EC2 執行個體流量加密,請參閱《*Amazon EC2 使用者指南*》中的[傳輸中加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)。
**注意**
Nitro 網路加密不適用於 Amazon EVS 部署的 EC2 執行個體。Amazon EVS 不支援主機間流量的傳輸中加密。
### 內部部署連線的傳輸中加密選項
若要加密內部部署資料中心與 Amazon EVS 之間的流量,您可以將 AWS Direct Connect 和 AWS Site-To-Site與 AWS Transit Gateway 結合使用。這種組合可提供 IPsec 加密的私有連線,同時降低網路成本、增加頻寬輸送量,並提供比一般網際網路 VPN 連線更一致的網路體驗。如需詳細資訊,請參閱[使用 AWS Direct Connect 的私有 IP AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html)。
**注意**
Amazon EVS 不支援透過 AWS Direct Connect 私有虛擬介面 (VIF) 或透過直接終止至底層 VPC AWS Site-to-Site VPN 連線進行連線。Amazon EVS 確實支援在 NSX Edge Tier-0 或 Tier-1 閘道上終止 IPSec VPN。如需詳細資訊,請參閱 VMware [NSX 文件中的新增 NSX IPSec VPN 服務](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/vmware-nsx/4-1/administration-guide/virtual-private-network-vpn/adding-nsx-vpn-services/add-an-ipsec-vpn-service.html)。
MAC Security (MACsec) 是 IEEE 標準,提供資料機密性、資料完整性和資料來源真實性。您可以使用支援 MACsec 的 AWS Direct Connect 連線,將您的資料從公司資料中心加密到 AWS Direct Connect 位置。如需詳細資訊,請參閱 [AWS Direct Connect 使用者指南中的 Direct Connect 中的 MAC 安全](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)。 * AWS *
### VMware 網路資料的傳輸中加密
在 Amazon EVS 環境部署之後,您有多個選項可在 VMware VCF 層強制執行傳輸中資料加密:
+ VMware vDefend 分散式防火牆 - 可讓您在虛擬機器之間實作精細的網路分割,並強制執行 TLS/SSL 加密。如需詳細資訊,請參閱 VMware VCF 文件中的[使用使用者介面設定分散式防火牆的安全設定](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/security-and-compliance-configuration-for-vmware-cloud-foundation-5-2/securing-nsx-t-data-center/security-configurations-for-further-evaluation/configure-security-settings.html)。
+ vSAN data-in-transit加密 - 可用於加密 vSAN 叢集中主機之間的所有資料和中繼資料。如需詳細資訊,請參閱 VMware [vSAN 文件中的 vSAN Data-In-Transit加密](https://techdocs.broadcom.com/us/en/vmware-cis/vsan/vsan/8-0/vsan-administration/using-encryption-in-a-vsan-cluster-1/vsan-data-in-transit-encryption.html)。
+ 加密的 vSphere vMotion - 保護使用 vSphere vMotion 傳輸之資料的機密性、完整性和真實性。如需詳細資訊,請參閱 [ vSphere 文件中的什麼是加密 vSphere vMotion](https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/vsphere-security-8-0/virtual-machine-encryption/encrypted-vsphere-vmotion.html)。 vSphere
## 金鑰和秘密管理
在 Amazon EVS 環境部署期間,Amazon EVS 會使用 AWS Secrets Manager 來建立、加密和存放秘密,其中包含安裝和存取 VMware VCF 管理設備所需的 VCF 登入資料,以及 ESX 根密碼。刪除 EVS 環境時,Amazon EVS 也會代表您刪除受管秘密。如需詳細資訊,請參閱 [Secrets Manager 使用者指南中的 Secrets Manager 秘密中的內容](https://docs.aws.amazon.com/secretsmanager/latest/userguide/whats-in-a-secret.html)。 * AWS *
Secrets Manager 使用信封加密搭配 AWS KMS 金鑰和資料金鑰來保護每個秘密值。除非另有指定,否則會使用 Secrets Manager 的預設 AWS 受管金鑰。或者,您可以在環境建立期間指定客戶受管金鑰,以加密您的秘密。如需詳細資訊,請參閱《[Secrets Manager 使用者指南》中的 AWS Secrets Manager 中的秘密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。 * AWS *
**注意**
客戶受管金鑰需支付額外的使用費。預設 AWS 受管金鑰是免費提供的。如需詳細資訊,請參閱 * AWS Secrets Manager 使用者指南*中的[定價](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)。
Amazon EVS 不會在部署後,同步 AWS Secrets Manager 和 VCF 軟體之間的登入資料。您有責任確保與 Amazon EVS 環境相關聯的秘密與 SDDC Manager 中的登入資料保持同步,以避免 VCF 密碼過期和無法存取 VCF 軟體。
Amazon EVS 不會代表您輪換秘密。您有責任輪換與環境相關聯的秘密。我們強烈建議在建立環境後立即輪換您的秘密,並實作輪換排程以定期更新秘密。如需輪換 AWS Secrets Manager 秘密的詳細資訊,請參閱《* AWS Secrets Manager 使用者指南*》中的[依 Lambda 函數輪換](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_lambda.html)。如需 VCF 密碼管理的詳細資訊,請參閱 VMware Cloud Foundation 文件中的[密碼管理](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/4-5/administering/manage-passwords-admin.html)。
**重要**
Amazon EVS 不會在部署後,同步 AWS Secrets Manager 和 VCF 軟體之間的登入資料。如果部署後使用 AWS Secrets Manager,您必須在 AWS Secrets Manager 和 SDDC Manager 之間保持憑證同步,以避免 VCF 密碼過期問題。如果 SDDC Manager 登入資料未保持在最新狀態,您可能會無法存取 VCF 軟體。
**注意**
Amazon EVS 不提供秘密的受管輪換。
**注意**
針對 AWS Secrets Manager 秘密輪換使用 Lambda 函數會產生費用。如需詳細資訊,請參閱 * AWS Secrets Manager 使用者指南*中的[定價](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)。
## 網際網路流量隱私權
Amazon EVS 使用客戶提供的 VPC 在 Amazon EVS 環境中的資源之間建立邊界,並控制它們、您的內部部署網路和網際網路之間的流量。如需 Amazon VPC 安全性的詳細資訊,請參閱* Amazon VPC 《 使用者指南*》中的[確保 中的網際網路流量隱私權 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
根據預設,Amazon EVS 會在環境建立期間建立拒絕直接網際網路存取的私有 VLAN 子網路。若要將另一層安全性新增至 VPC,您可以使用進一步限制網際網路連線的規則,為您的 VPC 建立自訂網路存取控制清單。如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的為您的 VPC 建立網路 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html)。
**重要**
EC2 安全群組無法在連接到 Amazon EVS VLAN 子網路的彈性網路介面上運作。若要控制往返 Amazon EVS VLAN 子網路的流量,您必須使用網路存取控制清單。
如果您是 NSX 管理員,您可以設定下列 NSX 功能來保護網路流量:
+ VMware vDefend Gateway Firewall - 保護網路周邊,防止外部威脅 (南北流量)。如需詳細資訊,請參閱 VMware NSX 文件中的[新增閘道防火牆政策和規則](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/nsxt-dc/3-2/administration-guide/security/gateway-firewall/add-a-gateway-firewall-policy-and-rule.html)。
+ VMware vDefend 分散式防火牆 - 防止來自內部網路 (東西流量) 的攻擊。如需詳細資訊,請參閱 VMware NSX 文件中的[新增分散式防火牆](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/nsxt-dc/3-2/administration-guide/security/distributed-firewall/add-a-distributed-firewall.html)。