厳格なデータセキュリティコンプライアンス要件により、クラウドユーザーのコアデータの保護は、業務継続性保証の重要な要素となっています。Virtual Private Cloud (VPC) トラフィック暗号化は、Cloud Infrastructure Processing Unit (CIPU) ハードウェア暗号化オフロード技術に基づいており、専用チップを介してネットワークプロトコルスタックの下位レイヤーですべてのトラフィックの自動暗号化を実装します。ビジネス運用のパフォーマンスを損なうことなく、物理層のネットワーク攻撃やホストトラフィックのハイジャックを効果的に防御します。これにより、金融取引や医療データ伝送などの機密性の高いシナリオにおける高強度の暗号化セキュリティ要件を満たします。
VPC トラフィック暗号化とは
VPC トラフィック暗号化機能は現在、招待プレビュー中です。この機能を使用するには、してアクセスをリクエストしてください。
VPC トラフィック暗号化は、CIPU ハードウェアオフロード機能を活用し、AES-GCM-256 アルゴリズムを使用して、ECS インスタンス間のプライベートネットワークトラフィックを透過的かつ自動的に暗号化および復号します。KMS サービスの集中キーライフサイクル管理と組み合わせることで、ビジネスに意識させることなく、送信データが復号に耐性を持つことを保証します。暗号化によるパフォーマンスへの影響は、マイクロ秒レベルの差を超えません。
VPC トラフィック暗号化を有効にすると、システムは伝送中の動的データに対して高強度の暗号化保護を提供します。攻撃者が物理層のネットワークハイジャックやその他の手段でデータパケットを傍受したとしても、暗号化アルゴリズムの計算複雑性による保護のため、元のコンテンツを解析することはできません。これにより、機密情報の漏洩リスクを根本的にブロックします。
さらに、機密コンピューティングやディスク暗号化などの関連セキュリティ機能と組み合わせることで、ビジネスのエンドツーエンド暗号化を実装できます。
ユースケース
VPC トラフィック暗号化は、チップレベルの機能を使用して、高性能で透過的な伝送セキュリティを実現します。金融取引や医療データ伝送など、厳格なセキュリティとパフォーマンス要件を持つさまざまなクラウドシナリオに適しています。
高頻度金融取引: 高頻度の金融取引やリアルタイムの支払い処理には、改ざんや盗聴に対する厳格な保護が必要です。VPC トラフィック暗号化は、ネットワークパフォーマンスに影響を与えることなくデータセキュリティを確保し、金融ビジネス運用のパフォーマンスとコンプライアンスの両方の要件を満たします。
医療健康情報管理: 電子カルテや診断データの伝送は、HIPAA などのプライバシー規制に準拠する必要があります。VPC トラフィック暗号化は、医療システムのリアルタイム応答に影響を与えることなく患者データを保護し、プライバシー漏洩に関連するコンプライアンスリスクを低減します。
制限
リージョン
VPC トラフィック暗号化機能は順次利用可能になっています。現在サポートされているリージョンとゾーンは次のとおりです。
リージョン名 | リージョン ID | ゾーン名 | ゾーン ID |
中国 (北京) | cn-beijing | ゾーン I | cn-beijing-i |
中国 (上海) | cn-shanghai | ゾーン L | cn-shanghai-l |
インスタンスタイプ
現在、g9ae、c9ae、r9ae、ebmg9ae、ebmc9ae、ebmr9ae を含む特定のインスタンスファミリーでサポートされています。
説明サポートされているインスタンスタイプは招待プレビュー中です。これらを使用するには、してアクセスをリクエストしてください。
ECS インスタンスでは、VPC トラフィック暗号化はデフォルトで無効になっています。インスタンスの作成時または作成後に有効/無効にできます。
DescribeInstanceTypes API を使用して、インスタンスタイプがこの機能をサポートしているかどうかを確認できます。戻り値 NetworkEncryptionSupport は、サポートされている場合は true、サポートされていない場合は false になります。
インスタンスタイプの変更は、VPC トラフィック暗号化のサポートに影響を与える可能性があります。変更を行う前に確認してください。
暗号化の範囲
現在、同じ VPC 内の ECS インスタンス間、またはVPC ピアリング接続を介して接続された同じリージョン内の異なる VPC のインスタンス間でのみ暗号化をサポートしています。
トラフィックは、両方のインスタンスが暗号化をサポートし、有効にしている場合にのみ暗号化されます (たとえば、一方のインスタンスがサポートされていないインスタンスタイプを使用しているか、暗号化が無効になっている場合、それらの間のトラフィックは暗号化されません)。
リージョン間の暗号化は現在サポートされていません。Server Load Balancer (SLB) や NAT Gateway などの他のクラウドプロダクトとの通信の暗号化もサポートされていません。
VPC トラフィック暗号化の有効化または無効化
コンソール
インスタンス作成時の有効化または無効化
インスタンス作成ページで、VPC トラフィック暗号化をサポートするリージョンとインスタンスタイプを選択すると、トラフィック暗号化を有効または無効にすることを選択できます。
既存のインスタンスの VPC トラフィック暗号化構成の変更
インスタンスが作成された後、ECS インスタンスの詳細ページでトラフィック暗号化を有効または無効にできます。
ECS コンソール - インスタンスに移動します。
上部のナビゲーションバーで、管理したいリソースのリージョンとリソースグループを選択します。
VPC トラフィック暗号化をサポートする作成済みインスタンスを見つけ、クリックして インスタンス詳細ページ に移動し、[すべてのアクション] で を選択します。
[インスタンス属性の変更] ダイアログボックスで、必要に応じて VPC トラフィック暗号化を有効または無効にします。
API
RunInstances 操作を呼び出して、VPC トラフィック暗号化が有効または無効になっているインスタンスを作成できます。NetworkOptions 構成で EnableNetworkEncryption を true または false に設定します。
ModifyInstanceAttribute 操作を呼び出して、インスタンスの VPC トラフィック暗号化構成を変更できます。パラメーター EnableNetworkEncryption を true または false に設定して、トラフィック暗号化を有効または無効にします。
DescribeInstanceAttribute 操作を呼び出して、インスタンスの VPC トラフィック暗号化構成をクエリできます。返された EnableNetworkEncryption の値は、指定されたインスタンスで VPC トラフィック暗号化が有効になっているかどうかを確認します。
サポートされている暗号化の範囲内で、ECS インスタンスに対して VPC トラフィック暗号化が有効になった後、インスタンス間のすべてのプライベートネットワークトラフィックは強制的に暗号化されます。