Amazon Web Services ブログ

AWS Storage Gateway に FIPS 140-2 準拠エンドポイントのサポートが追加されました

AWS Storage Gateway がオンプレミスにデプロイされる、または Amazon Virtual Private Cloud (Amazon VPC) 内の Amazon EC2 インスタンスとしてデプロイされる場合、Storage Gateway は、管理およびデータ移動の両方について AWS リージョンでホストされる Storage Gateway Managed Service に通信を返す必要があります。ゲートウェイとサービス間におけるこの通信を可能にするために、AWS Storage Gateway Managed Service は「サービスエンドポイント」とよばれるものをホストします。 これまでは、次の 2 つのオプションを利用することができました。

  1. パブリックエンドポイント – Storage Gateway はインターネット経由でパブリックエンドポイントに接続します。
  2. VPC エンドポイント – Storage Gateway は AWS へのプライベート接続 (AWS Direct Connect または VPN) 経由で Storage Gateway VPC エンドポイントに接続します。

いずれの場合も、Storage Gateway と Storage Gateway Managed Service との間にセキュアな接続が存在することが重要です。デフォルトで、Storage Gateway は SSL 接続経由で Storage Gateway サービスエンドポイントと通信することによって、転送時の暗号化を提供します。

本日のブログでは、Storage Gateway が AWS GovCloud (米国) リージョンで 3 番目のサービスエンドポイントタイプ、連邦情報処理規格 (FIPS) 140-2 準拠エンドポイントの提供を開始したことをお知らせしたいと思います。この 3 番目のエンドポイントタイプは、規制対象ワークロードの機密情報の保護を強化する追加のセキュリティ対策として機能させることが可能です (図 1)。これらのエンドポイントは、FIPS 140-2 検証済み暗号化ソフトウェアモジュールを使用して Transport Layer Security (TLS) セッションを終了するため、規制対象ワークロードのための Storage Gateway の使用が容易になります。米国連邦機関、および米国連邦政府と契約する企業は、機密データを暗号化する FIPS セキュリティ要件を満たすことができるようになります。

お客様環境で Storage Gateway をデプロイする、および Storage Gateway が AWS Storage Gateway Managed Service に通信を返す方法を示す図

図 1: お客様環境で Storage Gateway をデプロイする、および Storage Gateway が AWS Storage Gateway Managed Service に通信を返す方法を示したアーキテクチャ概要図

AWS FIPS エンドポイントとは何ですか?

AWS のサービスはすべて、あらゆる API コールに使用できる TLS 1.2 で暗号化されたエンドポイントを提供します。Storage Gateway が含まれるようになった一部の AWS のサービスでは、FIPS 検証済みの暗号化ライブラリの使用を必要とするお客様のために、FIPS 140-2 エンドポイントも提供されます。FIPS エンドポイントを使用する場合、転送時のデータのすべてが FIPS 140-2 に準拠する暗号化標準を使って暗号化されます。

Transport Layer Security (TLS) とは何ですか?

TLS は、コンピュータネットワーク全体でセキュアな通信を提供するように設計された暗号化プロトコルです。AWS のサービスに対する API コールは、TLS を使ってセキュア化されます。

利用可能なリージョン

Storage Gateway の FIPS 140-2 準拠エンドポイントは、 AWS GovCloud (米国東部) および AWS GovCloud (米国西部) でご利用いただけます。詳細については、AWS Storage Gateway ユーザーガイドをお読みいただくか、AWS GovCloud (米国) サービスエンドポイントページをご覧ください。

どのように使用を開始すればよいですか?

この新しい機能を使用するには、AWS コンソールでの Storage Gateway 作成時に FIPS エンドポイントオプションを選択してください (図 2)。ゲートウェイは、選択した AWS GovCloud (米国) リージョンでのアクティベーションのために FIPS エンドポイントに接続し、その後このゲートウェイによって転送されるデータはすべて、FIPS 検証済みの暗号化のみを使用します。

この新しい機能を使用するには、AWS コンソールでの Storage Gateway 作成時に FIPS エンドポイントオプションを選択します

図 2: Storage Gateway 作成時における AWS コンソールでの FIPS エンドポイントオプションの選択

まとめ

このブログ記事では、Storage Gateway が AWS GovCloud (米国) リージョンでの FIPS 140-2 準拠エンドポイントの使用をサポートするようになったことをお伝えしました。FIPS 140-2 準拠エンドポイント、および提供されるセキュリティ面でのメリットについて説明しました。最後に、FIPS 140-2 準拠エンドポイントを設定して、この機能によって提供される強化されたセキュリティを活用する方法を紹介しました。Storage Gateway、一般的なユースケース、デプロイメントオプション、および FIPS 140-2 準拠エンドポイントの使用開始方法の詳細については、以下のリンク先をご確認ください。

Storage Gateway が FIPS 140-2 準拠エンドポイントをサポートする方法に関するこのブログ記事をお読みいただき、ありがとうございました。ご質問がおありの場合は、以下のコメント欄からお知らせください。