Protection des données dans Amazon EC2 - Amazon Elastic Compute Cloud

Protection des données dans Amazon EC2

Le modèle de responsabilité partagée AWS s'applique à la protection des données dans Amazon Elastic Compute Cloud. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale sur laquelle l'ensemble d'AWS Cloud s'exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure est de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWSet RGPD sur le Blog de sécurité AWS.

À des fins de protection des données, nous vous recommandons de protéger les informations d'identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multi-facteur (MFA) avec chaque compte.

  • Utilisez SSL/TLS pour communiquer avec les ressources AWS. Nous recommandons TLS 1.2 ou une version ultérieure.

  • Configurez une API et la journalisation des activités utilisateur avec AWS CloudTrail.

  • Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu'Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lorsque vous accédez à AWS via une CLI ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS disponibles, consultez Norme de traitement de l'information fédérale (Federal Information Processing Standard (FIPS)) 140-2.

Nous vous recommandons vivement de ne jamais placer d'informations confidentielles ou sensibles, telles que des adresses e-mail, dans des balises ou des champs de format libre tels que Nom. Cela s'applique aussi lorsque vous utilisez Amazon EC2 ou d'autres services AWS à l'aide de la console, de l'API, de la AWS CLI ou des kits SDK AWS. Toutes les données que vous entrez dans les balises ou les champs de format libre utilisés pour les noms peuvent être utilisées pour les journaux de facturation ou de diagnostic. Si vous fournissez une URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d'informations d'identification dans l'URL pour valider votre demande au serveur.

Sécurité des données Amazon EBS

Les volumes Amazon EBS vous sont présentés comme des périphériques de stockage en mode bloc bruts non formatés. Ces appareils sont des périphériques logiques créés sur l'infrastructure EBS et le service Amazon EBS garantit que les appareils sont logiquement vides (c'est-à-dire que les blocs bruts sont mis à zéro ou contiennent des données pseudo-aléatoires cryptographiques) avant toute utilisation ou réutilisation par un client.

Si vous avez des procédures qui exigent que toutes les données soient effacées à l'aide d'une méthode spécifique, après ou avant utilisation (ou les deux), telles que celles détaillées dans DoD 5220.22-M (National Industrial Security Program Operating Manual) ou NIST 800-88 (Guidelines for Media Sanitization), vous avez la possibilité de le faire sur Amazon EBS. Cette activité de niveau bloc sera reflétée sur le support de stockage sous-jacent du service Amazon EBS.

Chiffrement au repos

Volumes EBS

Le chiffrement Amazon EBS est une solution de chiffrement destinées à vos volumes et instantanés EBS. Il utilise AWS KMS keys. Pour plus d'informations, consultez Chiffrement Amazon EBS.

Les clients peuvent également utiliser les autorisations Microsoft EFS et NTFS pour le chiffrement des dossiers (et des fichiers).

Volumes de stockage d'instances

Les données sur les volumes de stockage d'instance NVMe sont chiffrées à l'aide d'un chiffrement XTS-AES-256 implémenté dans un module matériel sur l'instance. Les clés utilisées pour chiffrer les données écrites sur des périphériques de stockage NVMe connectés localement sont par client et par volume. Les clés sont générées par le module matériel et ne se trouvent qu'à l'intérieur de celui-ci, qui est inaccessible au personnel AWS. Les clés de chiffrement sont détruites lorsque l'instance est arrêtée ou résiliée et ne peuvent pas être récupérées. Vous ne pouvez pas désactiver le chiffrement et vous ne pouvez pas fournir votre propre clé de chiffrement.

Les données sur des volumes de stockage d'instance HDD sur des instances H1, D3 et D3en sont chiffrées à l'aide de clés XTS-AES-256 et de clés uniques.

Lorsque vous arrêtez, mettez en veille prolongée ou résiliez une instance, chaque bloc de stockage du volume de stockage d'instances est réinitialisé. Par conséquent, vos données ne sont pas accessibles via le stockage d'instances d'une autre instance.

Mémoire

Le chiffrement de la mémoire est activé sur les instances suivantes :

  • Les instances avec processeurs Graviton 2 AWS, telles que les instances M6g. Ces processeurs prennent en charge le chiffrement de mémoire permanent. Les clés de chiffrement sont générées en toute sécurité dans le système hôte, elles ne quittent jamais le système hôte et sont détruites lorsque l'hôte est redémarré ou mis hors tension.

  • Les instances dotées de processeurs Intel Xeon Scalable (Ice Lake), telles que les instances M6i. Ces processeurs prennent en charge le chiffrement de mémoire permanent à l'aide d'Intel Total Memory Encryption (TME).

  • Les instances dotées de processeurs AMD EPYC de troisième génération (Milan), telles que les instances M6a. Ces processeurs prennent en charge le chiffrement de mémoire permanent à l'aide d'AMD Transparent Single Key Memory Encryption (TSME).

Chiffrement en transit

Chiffrement au niveau de la couche physique

Toutes les données circulant à travers les régions AWS sur le réseau global AWS sont automatiquement chiffrées au niveau de la couche physique avant qu'elles ne quittent les installations sécurisées AWS. Tout le trafic entre zones de disponibilité est chiffré. Des couches supplémentaires de chiffrement, y compris celles présentées dans cette section, peuvent fournir des protections supplémentaires.

Chiffrement fourni par un appairage entre régions VPC Amazon et Transit Gateway

Tout le trafic entre régions qui utilise un appairage VPC Amazon et Transit Gateway est automatiquement chiffré en bloc quand il quitte une région. Une couche supplémentaire de chiffrement est automatiquement fournie au niveau de la couche physique pour tout le trafic entre régions, comme indiqué précédemment dans cette section.

Chiffrement entre instances

AWS assure une connectivité sécurisée et privée entre les instances EC2 de tous les types. En outre, certains types d'instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances, à l'aide d'algorithmes AEAD avec un chiffrement 256 bits. Il n'y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

  • Les instances utilisent les types d'instance suivants :

    • Usage général : M5dn | M5n | M5zn | M6a | M6i | M6id

    • Optimisées pour le calcul : C5a | C5ad | C5n | C6a | C6i | C6id | C7g |

    • Mémoire optimisée : R5dn | R5n | R6a | R6i | R6id | mémoire élevée (u-*), uniquement virtualisée | X2idn | X2iedn | X2iezn

    • Optimisées pour le stockage : D3 | D3en | I3en | I4i

    • Accélérées pour le calcul : G4ad | G4dn | G5 | P3dn

  • Les instances se trouvent dans la même région.

  • Les instances se trouvent dans le même VPC ou dans des VPC appairés, et le trafic ne passe pas par un service ou un périphérique de réseau virtuel, tel qu'un équilibreur de charge ou une passerelle de transit.

Une couche supplémentaire de chiffrement est automatiquement fournie au niveau de la couche physique pour tout le trafic avant que celui-ci quitte les installations sécurisées AWS, comme indiqué précédemment dans cette section.

Pour afficher les types d'instance qui chiffrent le trafic en transit entre les instances à l'aide de la AWS CLI

Utilisez la commande describe-instance-types suivante.

aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" --output text | sort
Chiffrement depuis et vers AWS Outposts

Un Outpost crée des connexions réseau spéciales appelées liens de service à sa région AWS d'accueil et, éventuellement, une connectivité privée à un sous-réseau VPC que vous spécifiez. Tout le trafic sur ces connexions est entièrement crypté. Pour plus d'informations, consultez Connectivité via des liens de service et Chiffrement en transit dans le Guide de l'utilisateur AWS Outposts.

Chiffrement d'accès distant

RDP fournit un canal de communications sécurisé pour l'accès distant à vos instances Windows, que ce soit directement ou via EC2 Instance Connect. L'accès distant à vos instances à l'aide du Gestionnaire de session AWS Systems Manager et de la commande d'exécution est chiffré à l'aide de TLS 1.2, et les demandes de création d'une connexion sont chiffrées à l'aide de SigV4, et authentifiées et autorisées par AWS Identity and Access Management.

Il vous incombe d'utiliser un protocole de chiffrement tel que Transport Layer Security (TLS) pour chiffrer les données sensibles en transit entre les clients et vos instances Amazon EC2.

Assurez-vous d'autoriser uniquement les connexions chiffrées entre les instances EC2 et les points de terminaison de l'API AWS ou d'autres services réseau distant sensibles. Vous pouvez mettre cela en œuvre via un groupe de sécurité sortant ou des règles du Pare-feu Windows.