Protezione dei dati in AWS Site-to-Site VPN

Il modello di responsabilità AWS condivisa (modello di ) si applica alla protezione dei dati in AWS Site-to-Site VPN. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutte le Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta Domande frequenti sulla privacy dei dati . Per informazioni sulla protezione dei dati in Europa, consulta il General Data Protection Regulation (GDPR) Center.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

Utilizza l’autenticazione a più fattori (MFA) con ogni account.
SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con una Site-to-Site VPN o altro Servizi AWS utilizzando la console, l'API o gli SDK. AWS CLI AWS I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Riservatezza del traffico Internet

Una connessione Site-to-Site VPN collega privatamente il tuo VPC alla tua rete locale. I dati trasferiti tra il VPC e la rete vengono instradati su una connessione VPN crittografata per proteggere la riservatezza e l'integrità dei dati in transito. Amazon supporta le connessioni VPN IPsec (Internet Protocol security). IPsec è una suite di protocolli per la protezione delle comunicazioni IP mediante l'autenticazione e la crittografia dei singoli pacchetti IP in un flusso di dati.

Ogni connessione Site-to-Site VPN è costituita da due tunnel VPN IPSec crittografati che collegano la rete. AWS Il traffico in ogni tunnel può essere crittografato con AES128 o AES256 e utilizzare Diffie-Hellman gruppi per lo scambio di chiavi, fornendo Perfect Forward Secrecy. AWS si autentica con le funzioni di hashing SHA1 o SHA2.

Le istanze nel tuo VPC non richiedono un indirizzo IP pubblico per connettersi alle risorse sull'altro lato della connessione Site-to-Site VPN. Le istanze possono indirizzare il loro traffico Internet attraverso la connessione Site-to-Site VPN alla rete locale. Possono quindi accedere a Internet tramite i punti di traffico in uscita esistenti e i dispositivi di sicurezza e monitoraggio della rete.

Per ulteriori informazioni, consultare i seguenti argomenti:

Opzioni di tunnel per AWS Site-to-Site VPN connessione: fornisce informazioni sulle opzioni IPsec e IKE (Internet Key Exchange) disponibili per ogni tunnel.
AWS Site-to-Site VPN opzioni di autenticazione del tunnel: fornisce informazioni sulle opzioni di autenticazione per gli endpoint del tunnel VPN.
Requisiti per un dispositivo gateway del AWS Site-to-Site VPN cliente: fornisce informazioni sui requisiti per il dispositivo gateway del cliente sul lato utente della connessione VPN.
Comunicazione sicura tra AWS Site-to-Site VPN connessioni tramite VPN CloudHub: Se disponi di più connessioni Site-to-Site VPN, puoi fornire comunicazioni sicure tra i tuoi siti locali utilizzando la VPN. AWS CloudHub

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modificare la modalità di archiviazione delle chiavi già condivise

Gestione dell’identità e degli accessi