Mengenkripsi data saat transit - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data saat transit

Anda dapat mengenkripsi data dalam perjalanan menggunakan sistem file Amazon EFS, tanpa perlu memodifikasi aplikasi Anda.

Mengenkripsi data saat transit dengan TLS

Mengaktifkan enkripsi data dalam transit untuk sistem file Amazon EFS Anda dilakukan dengan mengaktifkan Transport Layer Security (TLS) saat Anda memasang sistem file menggunakan Amazon EFS mount helper. Untuk informasi selengkapnya, lihat Menggunakan EFS mount helper untuk me-mount sistem file EFS.

Ketika enkripsi data dalam transit dinyatakan sebagai opsi pemasangan untuk sistem file Amazon EFS Anda, pembantu pemasangan menginisialisasi proses stunnel klien. Stunnel adalah relay jaringan serbaguna open source. Proses stunnel klien mendengarkan pada port lokal untuk lalu lintas masuk, dan pembantu mount mengalihkan lalu lintas klien Network File System (NFS) ke port lokal ini. Mount helper menggunakan TLS versi 1.2 untuk berkomunikasi dengan sistem file Anda.

Untuk memasang sistem file Amazon EFS Anda dengan pembantu pemasangan dengan enkripsi data saat transit diaktifkan

  1. Akses terminal untuk instans Anda melalui Secure Shell (SSH), dan masuk dengan nama pengguna yang sesuai. Untuk informasi selengkapnya tentang cara melakukan ini, lihatMenghubungkan ke Instans Linux Anda Menggunakan SSHdi dalamPanduan Pengguna Amazon EC2 untuk Instans Linux.

  2. Jalankan perintah berikut untuk memasang sistem file Anda.

    sudo mount -t efs -o tls fs-12345678:/ /mnt/efs

Cara kerja enkripsi dalam transit

Untuk mengaktifkan enkripsi data dalam perjalanan, Anda terhubung ke Amazon EFS menggunakan TLS. Sebaiknya gunakan mount helper karena ini adalah opsi paling sederhana.

Jika Anda tidak menggunakan mount helper, Anda masih dapat mengaktifkan enkripsi data saat transit. Pada tingkat tinggi, berikut adalah langkah-langkah untuk melakukannya.

Untuk mengaktifkan enkripsi data saat transit tanpa bantuan pemasangan

  1. Download dan instal stunnel, dan perhatikan port yang didengarkan aplikasi.

  2. Jalankan stunnel untuk terhubung ke sistem file Amazon EFS Anda di port 2049 menggunakan TLS.

  3. Menggunakan klien NFS, mountlocalhost:port, tempatportadalah port yang Anda catat di langkah pertama.

Karena enkripsi data dalam transit dikonfigurasi pada basis per-koneksi, setiap mount yang dikonfigurasi memiliki proses stunnel khusus yang berjalan pada instance. Secara default, proses stunnel yang digunakan oleh pembantu mount mendengarkan pada port lokal 20049 hingga 20449, dan terhubung ke Amazon EFS pada port 2049.

catatan

Secara default, saat menggunakan helper mount Amazon EFS dengan TLS, pembantu pemasangan memberlakukan pemeriksaan nama host sertifikat. Amazon EFS mount helper menggunakan program stunnel untuk fungsionalitas TLS-nya. Beberapa versi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS ini secara default. Saat menggunakan salah satu versi Linux tersebut, pemasangan sistem file Amazon EFS menggunakan TLS gagal.

Setelah Anda menginstal amazon-efs-utils paket, untuk meng-upgrade versi sistem Anda stunnel lihatMeningkatkanstunnel.

Untuk masalah dengan enkripsi, lihatEnkripsi pemecahan masalah.

Saat menggunakan enkripsi data dalam perjalanan, pengaturan klien NFS Anda diubah. Saat Anda memeriksa sistem file yang terpasang secara aktif, Anda melihatnya terpasang ke 127.0.0.1, atau localhost, seperti pada contoh berikut.

$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Saat memasang dengan TLS dan Amazon EFS mount helper, Anda mengonfigurasi ulang klien NFS Anda untuk dipasang ke port lokal. EFS mount helper memulai klienstunnelproses yang mendengarkan di port lokal ini, danstunnelsedang membuka koneksi terenkripsi ke sistem file EFS menggunakan TLS. EFS mount helper bertanggung jawab untuk mengatur dan memelihara koneksi terenkripsi ini dan konfigurasi terkait.

Untuk menentukan ID sistem file Amazon EFS yang sesuai dengan titik kait lokal mana, Anda dapat menggunakan perintah berikut. Gantiefs-mount-pointdengan jalur lokal tempat Anda memasang sistem file Anda.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Ketika Anda menggunakan mount helper untuk enkripsi data dalam perjalanan, itu juga menciptakan proses yang disebutamazon-efs-mount-watchdog. Proses ini memastikan bahwa setiap proses stunnel mount berjalan, dan menghentikan stunnel saat sistem file Amazon EFS dilepas. Jika karena alasan tertentu proses stunnel dihentikan secara tak terduga, proses pengawas akan memulai ulang.