Mengenkripsi data dalam perjalanan - Amazon Elastic File System
Mengenkripsi data dalam perjalanan dengan TLSCara kerja enkripsi dalam perjalanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data dalam perjalanan

Anda dapat mengenkripsi data dalam perjalanan menggunakan sistem file Amazon EFS, tanpa perlu memodifikasi aplikasi Anda.

Mengenkripsi data dalam perjalanan dengan TLS

Mengaktifkan enkripsi data dalam perjalanan untuk sistem file Amazon EFS Anda dilakukan dengan mengaktifkan Transport Layer Security (TLS) saat Anda memasang sistem file menggunakan helper mount Amazon EFS. Untuk informasi selengkapnya, lihat Menggunakan EFS mount helper untuk memasang sistem file EFS.

Saat enkripsi data dalam perjalanan dideklarasikan sebagai opsi pemasangan untuk sistem file Amazon EFS Anda, mount helper menginisialisasi proses stunnel klien. Stunnel adalah relay jaringan multiguna open source. Proses stunnel klien mendengarkan pada port lokal untuk lalu lintas masuk, dan mount helper mengarahkan lalu lintas klien Network File System (NFS) ke port lokal ini. Mount helper menggunakan TLS versi 1.2 untuk berkomunikasi dengan sistem file Anda.

Untuk me-mount sistem file Amazon EFS Anda dengan mount helper dengan enkripsi data saat transit diaktifkan

  1. Akses terminal untuk instans Anda melalui Secure Shell (SSH), dan masuk dengan nama pengguna yang sesuai. Untuk informasi selengkapnya tentang cara melakukannya, lihat Menghubungkan ke Instans Linux Anda Menggunakan SSH di Panduan Pengguna Amazon EC2 untuk Instans Linux.

  2. Jalankan perintah berikut untuk me-mount sistem file Anda.

    sudo mount -t efs  -o tls fs-12345678:/ /mnt/efs

Cara kerja enkripsi dalam perjalanan

Untuk mengaktifkan enkripsi data dalam perjalanan, Anda terhubung ke Amazon EFS menggunakan TLS. Sebaiknya gunakan EFS mount helper untuk memasang sistem file Anda karena menyederhanakan proses pemasangan dibandingkan dengan pemasangan dengan NFS. mount EFS mount helper mengelola proses yang digunakan stunnel untuk TLS. Jika Anda tidak menggunakan mount helper, Anda masih dapat mengaktifkan enkripsi data dalam perjalanan. Pada tingkat tinggi, berikut adalah langkah-langkah untuk melakukannya.

Untuk mengaktifkan enkripsi data dalam perjalanan tanpa menggunakan EFS mount helper

  1. Unduh dan instalstunnel, dan catat port yang sedang didengarkan aplikasi. Untuk instruksi untuk melakukannya, lihatUpgrade stunnel.

  2. Jalankan stunnel untuk terhubung ke sistem file Amazon EFS Anda di port 2049 menggunakan TLS.

  3. Menggunakan klien NFS, mountlocalhost:port, di port mana port yang Anda catat pada langkah pertama.

Karena enkripsi data dalam transit dikonfigurasi berdasarkan per-koneksi, setiap mount yang dikonfigurasi memiliki stunnel proses khusus yang berjalan pada instance. Secara default, stunnel proses yang digunakan oleh EFS mount helper mendengarkan pada port lokal mulai dari 20049 hingga 21049, dan terhubung ke Amazon EFS pada port 2049.

catatan

Secara default, saat menggunakan helper mount Amazon EFS dengan TLS, mount helper memberlakukan pemeriksaan nama host sertifikat. Pembantu pemasangan Amazon EFS menggunakan stunnel program ini untuk fungsionalitas TLS-nya. Beberapa versi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS ini secara default. Saat menggunakan salah satu versi Linux tersebut, pemasangan sistem file Amazon EFS menggunakan TLS gagal.

Setelah Anda menginstal amazon-efs-utils paket, untuk meningkatkan versi stunnel lihat Upgrade stunnel sistem Anda.

Untuk masalah dengan enkripsi, lihatEnkripsi pemecahan masalah.

Saat menggunakan enkripsi data dalam perjalanan, pengaturan klien NFS Anda diubah. Saat Anda memeriksa sistem file yang dipasang secara aktif, Anda melihat satu dipasang ke 127.0.0.1, ataulocalhost, seperti pada contoh berikut.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Saat memasang dengan TLS dan helper mount Amazon EFS, Anda mengonfigurasi ulang klien NFS Anda untuk dipasang ke port lokal. EFS mount helper memulai stunnel proses klien yang mendengarkan di port lokal ini, dan stunnel membuka koneksi terenkripsi ke sistem file EFS menggunakan TLS. EFS mount helper bertanggung jawab untuk menyiapkan dan memelihara koneksi terenkripsi ini dan konfigurasi terkait.

Untuk menentukan ID sistem file Amazon EFS mana yang sesuai dengan titik pemasangan lokal mana, Anda dapat menggunakan perintah berikut. Ganti efs-mount-point dengan jalur lokal tempat Anda memasang sistem file Anda.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Bila Anda menggunakan mount helper untuk enkripsi data dalam perjalanan, itu juga menciptakan proses yang disebutamazon-efs-mount-watchdog. Proses ini memastikan bahwa setiap proses stunnel mount berjalan, dan menghentikan stunnel saat sistem file Amazon EFS dilepas. Jika karena alasan tertentu proses stunnel dihentikan secara tak terduga, proses pengawas memulai ulang.