厳格なデータセキュリティとコンプライアンス要件により、クラウドユーザーのコアデータを保護することは、業務継続性を確保するために不可欠となっています。VPC トラフィック暗号化は、Cloud Infrastructure Processing Unit (CIPU) のハードウェア暗号化オフロードに基づいており、専用チップを使用してネットワークプロトコルスタックの下位層ですべてのトラフィックを自動的に暗号化します。この方法により、ビジネスパフォーマンスに影響を与えることなく、物理層のネットワーク攻撃やホストトラフィックのハイジャックから防御します。金融取引や医療データ伝送などの機密性の高いシナリオにおける高強度の暗号化要件を満たします。
VPC トラフィック暗号化とは
VPC トラフィック暗号化機能は招待プレビュー段階です。この機能を使用するには、 チケットを送信してアクセスをリクエストしてください。
VPC トラフィック暗号化は、CIPU のハードウェアオフロード機能を利用します。AES-GCM-256 アルゴリズムを使用して、Elastic Compute Service (ECS) インスタンス間のプライベートネットワークトラフィックを透過的かつ自動的に暗号化および復号します。この機能は、Key Management Service (KMS) の一元的なキーライフサイクル管理と組み合わせることで、ビジネスに対して透過性を保ちながら、送信データが復号されないことを保証します。暗号化によるパフォーマンスへの影響は、マイクロ秒未満のレベルです。
VPC トラフィック暗号化を有効にすると、動的データは伝送中、常に高強度の暗号化によって保護されます。攻撃者が物理層のネットワークハイジャックなどの方法でデータデータグラムを傍受したとしても、暗号化アルゴリズムの計算の複雑さにより、元のコンテンツを解析することはできません。これにより、機密情報の漏洩を根本的に防ぎます。
この機能は、機密コンピューティングやディスク暗号化などの他のセキュリティ機能と組み合わせることで、ビジネスのエンドツーエンド暗号化を実装できます。
利用シーン
VPC トラフィック暗号化は、チップレベルの機能を使用して、高パフォーマンスで透過的な伝送セキュリティを提供します。以下のような、厳格なセキュリティとパフォーマンス要件を持つさまざまなクラウドシナリオに適しています。
高頻度金融取引:高頻度金融取引やリアルタイム決済処理には、厳格な改ざん防止と盗聴対策が求められます。VPC トラフィック暗号化は、ネットワークパフォーマンスに影響を与えることなくデータセキュリティを確保し、金融サービスにおけるパフォーマンスとコンプライアンスの二重の要件を満たします。
医療情報管理:電子カルテや診断データの伝送は、HIPAA などのプライバシー規制に準拠する必要があります。VPC トラフィック暗号化は、医療システムのリアルタイム応答に影響を与えることなく患者データを保護します。これにより、プライバシー漏洩に関連するコンプライアンスリスクを低減します。
制限事項
リージョンの制限
VPC トラフィック暗号化機能は順次展開されています。サポートされているリージョンを次の表に示します。
リージョン名 | リージョン ID |
中国 (上海) | cn-shanghai |
中国 (香港) | cn-hongkong |
機能の制限
この機能は、g9ae、c9ae、r9ae、ebmg9ae、ebmc9ae、ebmr9ae を含む特定のインスタンスファミリーでサポートされています。
説明サポートされているインスタンスタイプは招待プレビュー段階です。これらを使用するには、 チケットを送信してアクセスをリクエストしてください。
VPC トラフィック暗号化は、ECS インスタンスではデフォルトで無効になっています。インスタンスの作成時または作成後に有効/無効を切り替えることができます。
DescribeInstanceTypes 操作を呼び出して、インスタンスタイプがこの機能をサポートしているかどうかを確認できます。NetworkEncryptionSupport の戻り値が true の場合、そのインスタンスタイプはサポートされています。戻り値が false の場合、サポートされていません。
インスタンスタイプを変更すると、VPC トラフィック暗号化のサポート状況に影響する場合があります。インスタンスタイプを変更する前に、サポート状況を確認してください。
暗号化範囲の制限
暗号化は、同一 VPC 内の ECS インスタンス間、またはVPC ピアリング接続を使用して同一リージョン内の異なる VPC 間でプライベートネットワークを介して接続されている場合にのみサポートされます。
トラフィックは、通信する両方のインスタンスが VPC トラフィック暗号化をサポートし、かつ有効にしている場合にのみ暗号化されます。たとえば、一方のインスタンスがサポートされていないインスタンスタイプを使用しているか、暗号化が無効になっている場合、2 つのインスタンス間のトラフィックは暗号化されません。
リージョン間の暗号化はサポートされていません。また、Server Load Balancer (SLB) や NAT Gateway などの他の Alibaba Cloud サービスへのトラフィックの暗号化もサポートされていません。
VPC トラフィック暗号化の有効化/無効化
コンソールでの有効化/無効化
インスタンス作成時の有効化/無効化
インスタンス作成ページで、VPC トラフィック暗号化をサポートするリージョンとインスタンスタイプを選択すると、トラフィック暗号化を有効または無効にできます。
既存インスタンスの VPC トラフィック暗号化設定の変更
インスタンスの作成後、インスタンス詳細ページでトラフィック暗号化を有効または無効にできます。
ECS コンソール - インスタンスに移動します。
上部のナビゲーションバーで、管理したいリソースのリージョンとリソースグループを選択します。
VPC トラフィック暗号化をサポートするインスタンスを見つけ、その ID をクリックしてインスタンス詳細ページに移動します。[すべての操作] メニューで、 を選択します。
[インスタンス属性の変更] ダイアログボックスで、必要に応じて VPC トラフィック暗号化を有効または無効にします。
API を使用した有効化/無効化
RunInstances 操作を呼び出して、VPC トラフィック暗号化が有効または無効のインスタンスを作成できます。NetworkOptions 設定の EnableNetworkEncryption パラメーターを true または false に設定します。
ModifyInstanceAttribute 操作を呼び出して、インスタンスの VPC トラフィック暗号化設定を変更できます。EnableNetworkEncryption パラメーターを true または false に設定して、トラフィック暗号化を有効または無効にします。
DescribeInstanceAttribute 操作を呼び出して、インスタンスの VPC トラフィック暗号化設定をクエリできます。返された EnableNetworkEncryption の値で、指定されたインスタンスで VPC トラフィック暗号化が有効になっているかどうかを確認できます。
サポートされている暗号化範囲内で、ECS インスタンスに対して VPC トラフィック暗号化が有効になっている場合、インスタンス間のすべてのプライベートネットワークトラフィックは自動的に暗号化されます。