AWS Site-to-Site VPN でのデータ保護

AWS https://aws.amazon.com/compliance/shared-responsibility-model/、 AWS Site-to-Site VPN のデータ保護に適用されます。このモデルで説明したように AWS 、はすべてを実行するグローバルインフラストラクチャを保護する責任があります。 AWS クラウドお客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービス のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、「AWS セキュリティブログ」に投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データ保護のため、 AWS アカウント 認証情報を保護し、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。こうすると、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、以下の方法でデータを保護することをお勧めします。

• 各アカウントで多要素認証 (MFA) を使用します。

• SSL/TLS を使用してリソースと通信します。 AWS TLS 1.2、できれば TLS 1.3 が必要です。

• を使用して API とユーザーアクティビティのロギングを設定します。 AWS CloudTrail

• AWS 暗号化ソリューションと、 AWS のサービスその中に含まれるデフォルトのセキュリティコントロールをすべて使用してください。

• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

• コマンドラインインターフェイスまたは API AWS を介してアクセスするときに FIPS 140-2 で検証された暗号モジュールが必要な場合は、FIPS エンドポイントを使用してください。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

お客様の E メールアドレスなどの機密情報やセンシティブ情報は、タグや名前フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これには、コンソール、API AWS CLI、または AWS SDK AWS のサービス を使用してSite-to-Site VPN やその他のものを操作する場合も含まれます。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。

インターネットトラフィックのプライバシー

Site-to-Site VPN 接続は、VPC をオンプレミスネットワークにプライベートに接続します。お客様の VPC とネットワーク間で転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。Amazon は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。IPsec は、データストリームの各 IP パケットを認証して暗号化することによって、安全に IP 通信を行うためのプロトコルです。

各Site-to-Site VPN 接続は、 AWS ネットワークとリンクする 2 つの暗号化された IPSec VPN トンネルで構成されています。各トンネルのトラフィックでは、暗号化に AES128 あるいは AES256 を、キー交換に Diffie-Hellman グループを使用することで、Perfect Forward Secrecy を提供しています。 AWS は SHA1 または SHA2 ハッシュ関数で認証します。

VPC のインスタンスでは、Site-to-Site VPN 接続の反対側のリソースに接続するためのパブリック IP アドレスは必要ありません。インスタンスは、Site-to-Site VPN 接続を介してインターネットトラフィックをオンプレミスネットワークにルーティングできます。その後、既存のアウトバウンドトラフィックポイントとネットワークセキュリティおよびモニタリングデバイスを介してインターネットにアクセスできます。

詳細については、以下のトピックを参照してください:

• Site-to-Site VPN 接続のトンネルオプション: 各トンネルで使用できる IPsec および Internet Key Exchange (IKE) オプションに関する情報を提供します。

• Site-to-Site VPN トンネル認証オプション: VPN トンネルエンドポイントの認証オプションに関する情報を提供します。

• カスタマーゲートウェイデバイスの要件: VPN 接続のユーザー側のカスタマーゲートウェイデバイスの要件に関する情報を提供します。

• VPN CloudHub を使用して安全なサイト間通信を提供する: Site-to-Site VPN 接続が複数ある場合は、VPN を使用してオンプレミスサイト間の安全な通信を提供できます。 AWS CloudHub