AWS Direct Connect でのインフラストラクチャセキュリティ

マネージドサービスである AWS Direct Connect は AWS グローバルネットワークセキュリティ手順で保護されています。AWS が公開している API コールを使用して、ネットワーク経由で AWS Direct Connect にアクセスします。クライアントで Transport Layer Security (TLS) 1.2 以降がサポートされている必要があります。TLS 1.3 をお勧めします。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。

これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、AWS Direct Connect ではリソースベースのアクセスポリシーがサポートされています。これには送信元 IP アドレスに基づく制限を含めることができます。また、AWS Direct Connect ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPC からのアクセスを制御することもできます。これにより、実質的に AWS ネットワーク内の特定の VPC からの特定の AWS Direct Connect リソースへのネットワークアクセスが分離されます。例については、「Direct Connect アイデンティティベースのポリシーの例」を参照してください。

ボーダーゲートウェイプロトコル (BGP) セキュリティ

インターネットは、ネットワークシステム間で情報をルーティングするために BGP に大きく依存しています。BGP ルーティングは、悪意のある攻撃や BGP ハイジャックの影響を受けることがあります。AWS がネットワークを BGP ハイジャックからより安全に保護する方法を理解するには、「AWS がインターネットルーティングの保護に役立っている方法」を参照してください。