Protection des données dans Amazon EC2 - Amazon Elastic Compute Cloud
Sécurité des données Amazon EBSChiffrement au reposChiffrement en transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon EC2

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon Elastic Compute Cloud. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 lors de l'accès AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Amazon EC2 ou une autre entreprise à Services AWS l'aide de la console, de l'API ou AWS des AWS CLI SDK. Toutes les données que vous saisissez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Sécurité des données Amazon EBS

Les volumes Amazon EBS vous sont présentés comme des périphériques de stockage en mode bloc bruts non formatés. Ces appareils sont des périphériques logiques créés sur l’infrastructure EBS et le service Amazon EBS garantit que les appareils sont logiquement vides (c’est-à-dire que les blocs bruts sont mis à zéro ou contiennent des données pseudo-aléatoires cryptographiques) avant toute utilisation ou réutilisation par un client.

Si vous avez des procédures qui exigent que toutes les données soient effacées à l’aide d’une méthode spécifique, après ou avant utilisation (ou les deux), telles que celles détaillées dans DoD 5220.22-M (National Industrial Security Program Operating Manual) ou NIST 800-88 (Guidelines for Media Sanitization), vous avez la possibilité de le faire sur Amazon EBS. Cette activité de niveau bloc sera reflétée sur le support de stockage sous-jacent du service Amazon EBS.

Chiffrement au repos

Volumes EBS

Le chiffrement Amazon EBS est une solution de chiffrement destinées à vos volumes et instantanés EBS. Il utilise AWS KMS keys. Pour plus d'informations, consultez la section relative au chiffrement Amazon EBS dans le guide de l'utilisateur Amazon EBS.

Volumes de stockage d’instances

Les données sur les volumes de stockage d’instance NVMe sont chiffrées à l’aide d’un chiffrement XTS-AES-256 implémenté dans un module matériel sur l’instance. Les clés utilisées pour chiffrer les données écrites sur des périphériques de stockage NVMe connectés localement sont par client et par volume. Les clés sont générées par le module matériel et ne se trouvent qu’à l’intérieur de celui-ci, qui est inaccessible au personnel AWS . Les clés de chiffrement sont détruites lorsque l’instance est arrêtée ou résiliée et ne peuvent pas être récupérées. Vous ne pouvez pas désactiver le chiffrement et vous ne pouvez pas fournir votre propre clé de chiffrement.

Les données sur des volumes de stockage d’instance HDD sur des instances H1, D3 et D3en sont chiffrées à l’aide de clés XTS-AES-256 et de clés uniques.

Lorsque vous arrêtez, mettez en veille prolongée ou résiliez une instance, chaque bloc de stockage du volume de stockage d’instances est réinitialisé. Par conséquent, vos données ne sont pas accessibles via le stockage d’instances d’une autre instance.

Mémoire

Le chiffrement de la mémoire est activé sur les instances suivantes :

  • Instances équipées de processeurs AWS Graviton. AWS Graviton2, AWS Graviton3 et Graviton3E prennent en charge le chiffrement permanent de la AWS mémoire. Les clés de chiffrement sont générées en toute sécurité dans le système hôte, elles ne quittent jamais le système hôte et sont détruites lorsque l’hôte est redémarré ou mis hors tension. Pour de plus amples informations, veuillez consulter Processeurs AWS Graviton.

  • Les instances dotées de processeurs Intel Xeon Scalable de 3e génération (Ice Lake), telles que les instances M6i, et de processeurs Intel Xeon Scalable de 4e génération (Sapphire Rapids), tels que les instances M7i. Ces processeurs prennent en charge le chiffrement de mémoire permanent à l’aide d’Intel Total Memory Encryption (TME).

  • Les instances dotées de processeurs AMD EPYC de 3e génération (Milan), telles que les instances M6a, et de processeurs AMD EPYC de 4e génération (Genoa), telles que les instances M7a. Ces processeurs prennent en charge le chiffrement de mémoire permanent à l’aide d’AMD Secure Memory Encryption (SME). Les instances dotées de processeurs AMD EPYC de 3e génération (Milan) prennent également en charge la technologie AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP).

Chiffrement en transit

Chiffrement au niveau de la couche physique

Toutes les données circulant entre AWS les régions via le réseau AWS mondial sont automatiquement cryptées au niveau de la couche physique avant de quitter les installations AWS sécurisées. Tout le trafic entre zones de disponibilité est chiffré. Des couches supplémentaires de chiffrement, y compris celles présentées dans cette section, peuvent fournir des protections supplémentaires.

Chiffrement fourni par un appairage entre régions VPC Amazon et Transit Gateway

Tout le trafic entre régions qui utilise un appairage VPC Amazon et Transit Gateway est automatiquement chiffré en bloc quand il quitte une région. Une couche supplémentaire de chiffrement est automatiquement fournie au niveau de la couche physique pour tout le trafic entre régions, comme indiqué précédemment dans cette section.

Chiffrement entre instances

AWS fournit une connectivité sécurisée et privée entre les instances EC2 de tous types. En outre, certains types d’instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances. Ce chiffrement utilise des algorithmes de chiffrement authentifié avec données associées (AEAD), avec un chiffrement 256 bits. Il n’y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

  • Les instances utilisent les types d’instance suivants :

    • Usage général : M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex

    • Optimisées pour le calcul : C5a, C5ad, C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i

    • Optimisées pour la mémoire : R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iz, U-3tb1, U-6tb1, U-9tb1, U-12tb1, U-18tb1, U-24tb1, X2idn, X2iedn, X2iezn

    • Optimisées pour le stockage : D3, D3en, I3en, I4g, I4i, Im4gn, Is4gen

    • Calcul accéléré :

    • Calcul à hautes performances : Hpc6a, Hpc6id, Hpc7a, Hpc7g

  • Les instances se trouvent dans la même région.

  • Les instances se trouvent dans le même VPC ou dans des VPC appairés, et le trafic ne passe pas par un service ou un périphérique de réseau virtuel, tel qu’un équilibreur de charge ou une passerelle de transit.

Une couche de chiffrement supplémentaire est automatiquement fournie au niveau de la couche physique pour tout le trafic avant qu'il ne quitte les installations AWS sécurisées, comme indiqué précédemment dans cette section.

Pour afficher les types d’instance qui chiffrent le trafic en transit entre les instances à l’aide de la AWS CLI

Utilisez la commande suivante de l' describe-instance-types.

aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
Chiffrement depuis et vers AWS Outposts

Un Outpost crée des connexions réseau spéciales appelées liens de service vers sa région d' AWS origine et, éventuellement, une connectivité privée avec un sous-réseau VPC que vous spécifiez. Tout le trafic sur ces connexions est entièrement crypté. Pour plus d’informations, consultez Connectivité via des liens de service et Chiffrement en transit dans le Guide de l’utilisateur AWS Outposts .

Chiffrement d’accès distant

SSH fournit un canal de communications sécurisé pour l’accès distant à vos instances Linux, que ce soit directement ou via EC2 Instance Connect. L'accès à distance à vos instances à l'aide du gestionnaire de AWS Systems Manager session ou de la commande Run est crypté à l'aide de TLS 1.2, et les demandes de création de connexion sont signées à l'aide de SigV4, authentifiées et autorisées par. AWS Identity and Access Management

Il vous incombe d’utiliser un protocole de chiffrement tel que Transport Layer Security (TLS) pour chiffrer les données sensibles en transit entre les clients et vos instances Amazon EC2.