Keamanan - AWS Bimbingan Preskriptif
Keamanan khusus layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan

VMware mengimplementasikan keamanan melalui kontrol akses berbasis peran vCenter, enkripsi vSAN, kebijakan keamanan tingkat VM, dan integrasi dengan sistem identitas perusahaan. AWS mematuhi model tanggung jawab bersama yang menyediakan lapisan keamanan terintegrasi di seluruh layanan penyimpanan.

AWS mengelola keamanan melalui AWS Identity and Access Management (IAM), enkripsi saat istirahat dan dalam perjalanan, isolasi jaringan VPC, dan pemantauan AWS CloudTrail otomatis melalui dan Amazon. GuardDuty AWS menyediakan kontrol akses tingkat sumber daya melalui kebijakan IAM dan kebijakan berbasis sumber daya, kunci enkripsi terkelola melalui, dan deteksi ancaman real-time yang diskalakan secara otomatis AWS KMS dengan perubahan infrastruktur.

Tabel berikut merangkum konfigurasi keamanan dan karakteristik VMware dan. AWS

Aspek

VMware

AWS

Kontrol akses

  • Kontrol akses berbasis peran (RBAC)

  • Izin vSphere

  • ACLs

  • Kebijakan bucket S3

  • IAM

  • Grup keamanan

Enkripsi

  • Integrasi server manajemen kunci eksternal

  • Enkripsi VM di tingkat hypervisor

  • enkripsi datastore vSAN

  • Enkripsi volume EBS

  • Enkripsi EFS (saat istirahat dan dalam perjalanan)

  • AWS KMS integrasi

  • Enkripsi sisi server S3 (SSE)

Pemantauan dan audit keamanan

  • Integrasi Informasi Keamanan dan Manajemen Acara Pihak Ketiga (SIEM)

  • vCenter/log peristiwa ESXi

  • VRealize Wawasan Log

  • log audit vSAN

  • GuardDuty deteksi ancaman

  • Log akses S3

  • CloudTrail

  • AWS Config

Perlindungan data

  • Pembatasan file sistem kritis

  • Menonaktifkan layanan yang tidak perlu

  • Patch keamanan

  • Pengerasan VM

  • Memblokir akses publik S3

  • Enkripsi dalam perjalanan (SSL/TLS)

  • Autentikasi multi-faktor

  • Titik akhir VPC

Tabel berikut memberikan perbandingan rinci implementasi keamanan antara VMware dan AWS lingkungan, dengan fokus pada kontrol akses, enkripsi, pemantauan, dan pendekatan perlindungan data.

Aspek

VMware

AWS

Kontrol akses

Menerapkan keamanan hierarkis tradisional melalui RBAC, di mana administrator menentukan izin pengguna dan peran dalam vSphere. Hal ini memungkinkan kontrol granular atas siapa yang dapat mengakses datastores tertentu dan melakukan operasi terkait penyimpanan.

Menerapkan pendekatan komprehensif menggunakan IAM, menyediakan kontrol akses halus melalui kebijakan dan peran. Kombinasi kebijakan bucket ACLs, dan grup keamanan menawarkan lapisan kontrol akses, membuatnya lebih fleksibel dan skalabel. VMware

Enkripsi

Bergantung pada enkripsi tingkat hypervisor untuk dan VMs vSan datastores, yang membutuhkan integrasi dengan server manajemen kunci eksternal. Pendekatan ini memberikan keamanan yang kuat tetapi membutuhkan konfigurasi dan manajemen manual.

Menyediakan kemampuan enkripsi bawaan di semua layanan penyimpanan. AWS menawarkan opsi enkripsi termasuk enkripsi sisi server untuk S3, volume EBS, dan AWS KMS integrasi untuk manajemen kunci.

Pemantauan dan audit

Menggunakan vCenter dan ESXi log dan mengkonsolidasikannya melalui Operasi Aria untuk Log dengan kemampuan untuk mengintegrasikan alat SIEM pihak ketiga untuk pemantauan yang ditingkatkan. Ini memberikan kemampuan pemantauan dan audit pusat data tradisional.

Menawarkan pemantauan komprehensif melalui layanan asli seperti CloudTrail untuk pelacakan aktivitas API, GuardDuty untuk deteksi ancaman, dan AWS Config untuk pemantauan konfigurasi. Layanan ini menyediakan kemampuan pemantauan dan peringatan waktu nyata yang otomatis.

Perlindungan data

VMware berfokus pada perlindungan tingkat VM melalui praktik pengerasan dan kontrol keamanan tingkat sistem, mengikuti pendekatan keamanan tradisional.

Menerapkan lapisan perlindungan termasuk kontrol tingkat jaringan (titik akhir VPC), keamanan tingkat transportasi (SSL/TLS), dan fitur tambahan seperti S3 memblokir akses publik.

Keamanan khusus layanan

Enkripsi Amazon EBS — AWS menyediakan enkripsi transparan untuk volume Amazon EBS saat istirahat dan dalam perjalanan antara volume dan instance. Volume Amazon EBS mendukung beberapa konfigurasi termasuk pengaturan mandiri dan RAID, dengan kemampuan untuk migrasi lintas-AZ melalui snapshot dan pengubahan ukuran dinamis tanpa waktu henti instans.

Keamanan Amazon S3 — Amazon S3 memberlakukan enkripsi menggunakan opsi enkripsi sisi server seperti SSE-S3 (kunci terkelola), SSE-KMS (kunci yang dikelola pelanggan), dan SSE-C AWS (kunci yang disediakan pelanggan). Kontrol akses mencakup kebijakan bucket ACLs, dan pemblokiran akses publik untuk mencegah paparan yang tidak sah.

Amazon EFS Security — Amazon EFS menyediakan enkripsi untuk data saat istirahat dan dalam perjalanan, dengan kontrol akses yang dikelola melalui kebijakan IAM dan grup keamanan VPC untuk membatasi akses sistem file ke pengguna dan layanan yang berwenang.