Panduan: Menegakkan Enkripsi pada Sistem File Amazon EFS saat Istirahat

Setelah itu, Anda dapat menemukan detail tentang cara menerapkan enkripsi saat diam menggunakan Amazon CloudWatch danAWS CloudTrail. Walkthrough ini didasarkan padaAWSkertas putihEnkripsi Data Saat Istirahat dengan Sistem File Terenkripsi Amazon EFS.

catatan

Metode untuk menegakkan pembuatan sistem file Amazon EFS yang dienkripsi pada saat istirahat yang dijelaskan dalam panduan ini tidak berlaku lagi. Metode yang disukai untuk menegakkan pembuatan sistem file yang dienkripsi saat istirahat adalah dengan menggunakanelasticfilesystem:Encryptedkunci kondisiAWS Identity and Access Managementkebijakan berbasis identitas. Untuk informasi selengkapnya, lihat Contoh: Menegakkan pembuatan sistem file terenkripsi. Anda dapat menggunakan panduan ini untuk membuat alarm CloudWatch untuk memvalidasi bahwa kebijakan IAM Anda mencegah pembuatan sistem file yang tidak terenkripsi.

Enkripsi saat Istirahat

Organisasi Anda mungkin memerlukan enkripsi pada semua data yang sesuai dengan klasifikasi tertentu atau yang diasosiasikan dengan aplikasi, beban kerja, atau lingkungan tertentu. Anda dapat menerapkan kebijakan untuk enkripsi data saat istirahat untuk sistem file Amazon EFS dengan menggunakan kontrol detektif. Kontrol ini mendeteksi pembuatan sistem file dan memverifikasi bahwa enkripsi saat istirahat diaktifkan.

Jika sistem file yang tidak memiliki enkripsi saat istirahat terdeteksi, Anda dapat merespons dengan beberapa cara. Ini berkisar dari menghapus sistem file dan target mount untuk memberi tahu administrator.

Jika Anda ingin menghapus sistem file yang tidak terenkripsi namun ingin menyimpan data, pertama buat sistem file terenkripsi yang baru. Selanjutnya, salin data ke sistem file terenkripsi yang baru. Setelah data disalin, Anda dapat menghapus sistem file unencrypted-at-rest.

Mendeteksi Sistem File Yang Tidak Terenkripsi Saat Istirahat

Anda dapat membuat alarm CloudWatch untuk memantau log CloudTrail untukCreateFileSystemperistiwa. Anda kemudian dapat memicu alarm untuk memberi tahu administrator jika sistem file yang dibuat tidak terenkripsi saat istirahat.

Buat Filter Metrik

Untuk membuat alarm CloudWatch yang dipicu saat sistem file Amazon EFS tidak terenkripsi dibuat, gunakan prosedur berikut.

Sebelum memulai, Anda harus membuat jejak yang sudah ada yang mengirim log CloudTrail ke grup log CloudWatch Logs. Untuk informasi selengkapnya, lihatMengirim Peristiwa ke CloudWatch LogsdiAWS CloudTrailPanduan Pengguna.

Untuk membuat filter metrik

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.

2. Di panel navigasi, pilih Log.

3. Dalam daftar grup log, pilih grup log yang Anda buat untuk kejadian log CloudTrail.

4. PilihBuat Filter Metrik.

5. PadaFilter Metrik Tentukan Loghalaman, pilihPola filterdan kemudian ketik berikut ini:

   { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) } 

6. Pilih Tetapkan Metrik.

7. UntukNama Filter, jenisUnencryptedFileSystemCreated.

8. Untuk Namespace Metrik, ketik CloudTrailMetrics.

9. Untuk Nama Metrik, ketik UnencryptedFileSystemCreatedEventCount.

10. PilihTampilkan pengaturan metrik tingkat lanjut.

11. UntukNilai metrik, jenis1.

12. Pilih Buat Filter.

Buat Alarm

Setelah membuat filter metrik, gunakan prosedur berikut untuk membuat alarm.

Untuk membuat alarm

1. PadaPenyaringuntukLog_Group_Namahalaman, di sampingUnencryptedFileSystemCreatednama filter, pilihBuat Alarm.

2. PadaBuat AlarmHalaman, atur parameter berikut:

   • UntukNama, jenisUnencrypted File System Created

   • UntukKapan pun, lakukan hal berikut:

     • SETadalahkepada> = 1

     • SETuntuk:kepada1periode berturut-turut (s).

   • UntukData yang hilang, pilihbaik (tidak melanggar ambang batas).

   • UntukTindakan, lakukan hal berikut:

     • Untuk Setiap kali alarm ini, pilih Status adalah ALARM.

     • UntukKirim notifikasi ke, pilihNotifyMe, pilihDaftar baru, dan kemudian ketik nama topik unik untuk daftar ini.

     • UntukDaftar email, ketik alamat email di mana Anda ingin pemberitahuan dikirim. Anda harus menerima email di alamat ini untuk mengonfirmasi bahwa Anda membuat alarm ini.

   • UntukPratinjau alarm, lakukan hal berikut:

     • UntukPeriode, pilih1 menit.

     • UntukStatistik, pilihStandarddanJumlah.

3. Pilih Buat Alarm.

Uji Alarm untuk Pembuatan Sistem File Tidak Terenkripsi

Anda dapat menguji alarm dengan membuat sistem file yang tidak terenkripsi, sebagai berikut.

Untuk menguji alarm dengan membuat sistem file yang tidak terenkripsi

1. Masuk keAWS Management Consoledan buka konsol Amazon EFS dihttps://console.aws.amazon.com/efs/.

2. PilihMembuat sistem fileuntuk menampilkanMembuat sistem filekotak dialog.

3. Untuk membuat sistem file yang tidak terenkripsi saat istirahat, pilihMenyesuaikanuntuk menampilkanPengaturan sistem filehalaman.

4. UntukUmumpengaturan, masukkan yang berikut ini.

   1. (Opsional) MasukkanNamauntuk sistem file.

   2. TetapManajemen siklus aktif,Mode performa, danMode throughputdiatur ke nilai default.

   3. MematikanEnkripsidengan kliringAktifkan enkripsi data saat diam.

5. PilihSelanjutnyauntuk melanjutkan keAkses Jaringanlangkah dalam proses konfigurasi.

6. Pilih defaultVirtual Private Cloud (VPC).

7. UntukTarget pemasangan, pilih defaultGrup keamananuntuk setiap target gunung.

8. PilihSelanjutnyauntuk menampilkanKebijakan sistem filehalaman.

9. PilihSelanjutnyauntuk melanjutkan keMemeriksa dan membuathalaman.

10. Tinjau sistem file, dan pilihBuatuntuk membuat sistem file Anda dan kembali keSistem filehalaman.

Jejak Anda logCreateFileSystemoperasi dan mengirimkan acara ke grup log CloudWatch Logs Anda. Acara ini memicu alarm metrik Anda dan CloudWatch Logs mengirimkan pemberitahuan tentang perubahan tersebut.