Enkripsi data di Amazon EFS - Amazon Elastic File System
Cara kerja enkripsi dalam perjalanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data di Amazon EFS

Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi data dalam perjalanan dan enkripsi saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat membuat sistem file Amazon EFS. Anda dapat mengaktifkan enkripsi data dalam perjalanan saat Anda memasang sistem file.

Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Jika organisasi Anda tunduk pada kebijakan perusahaan atau peraturan yang memerlukan enkripsi data dan metadata saat istirahat, sebaiknya buat sistem file yang dienkripsi saat istirahat, dan memasang sistem file Anda menggunakan enkripsi data dalam perjalanan.

Cara kerja enkripsi dalam perjalanan

Untuk mengaktifkan enkripsi data dalam perjalanan, Anda terhubung ke Amazon EFS menggunakan TLS. Sebaiknya gunakan EFS mount helper untuk memasang sistem file Anda karena menyederhanakan proses pemasangan dibandingkan dengan pemasangan dengan NFS. mount EFS mount helper mengelola proses yang digunakan stunnel untuk TLS. Jika Anda tidak menggunakan mount helper, Anda masih dapat mengaktifkan enkripsi data dalam perjalanan. Pada tingkat tinggi, berikut adalah langkah-langkah untuk melakukannya.

Untuk mengaktifkan enkripsi data dalam perjalanan tanpa menggunakan EFS mount helper

  1. Unduh dan instalstunnel, dan catat port yang sedang didengarkan aplikasi. Untuk instruksi untuk melakukannya, lihatUpgrade stunnel.

  2. Jalankan stunnel untuk terhubung ke sistem file Amazon EFS Anda di port 2049 menggunakan TLS.

  3. Menggunakan klien NFS, mountlocalhost:port, di port mana port yang Anda catat pada langkah pertama.

Karena enkripsi data dalam transit dikonfigurasi berdasarkan per-koneksi, setiap mount yang dikonfigurasi memiliki stunnel proses khusus yang berjalan pada instance. Secara default, stunnel proses yang digunakan oleh EFS mount helper mendengarkan pada port lokal mulai dari 20049 hingga 21049, dan terhubung ke Amazon EFS pada port 2049.

catatan

Secara default, saat menggunakan helper mount Amazon EFS dengan TLS, mount helper memberlakukan pemeriksaan nama host sertifikat. Pembantu pemasangan Amazon EFS menggunakan stunnel program ini untuk fungsionalitas TLS-nya. Beberapa versi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS ini secara default. Saat menggunakan salah satu versi Linux tersebut, pemasangan sistem file Amazon EFS menggunakan TLS gagal.

Setelah Anda menginstal amazon-efs-utils paket, untuk meningkatkan versi stunnel lihat Upgrade stunnel sistem Anda.

Untuk masalah dengan enkripsi, lihatEnkripsi pemecahan masalah.

Saat menggunakan enkripsi data dalam perjalanan, pengaturan klien NFS Anda diubah. Saat Anda memeriksa sistem file yang dipasang secara aktif, Anda melihat satu dipasang ke 127.0.0.1, ataulocalhost, seperti pada contoh berikut.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Saat memasang dengan TLS dan helper mount Amazon EFS, Anda mengonfigurasi ulang klien NFS Anda untuk dipasang ke port lokal. EFS mount helper memulai stunnel proses klien yang mendengarkan di port lokal ini, dan stunnel membuka koneksi terenkripsi ke sistem file EFS menggunakan TLS. EFS mount helper bertanggung jawab untuk menyiapkan dan memelihara koneksi terenkripsi ini dan konfigurasi terkait.

Untuk menentukan ID sistem file Amazon EFS mana yang sesuai dengan titik pemasangan lokal mana, Anda dapat menggunakan perintah berikut. Ganti efs-mount-point dengan jalur lokal tempat Anda memasang sistem file Anda.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Bila Anda menggunakan mount helper untuk enkripsi data dalam perjalanan, itu juga menciptakan proses yang disebutamazon-efs-mount-watchdog. Proses ini memastikan bahwa setiap proses stunnel mount berjalan, dan menghentikan stunnel saat sistem file Amazon EFS dilepas. Jika karena alasan tertentu proses stunnel dihentikan secara tak terduga, proses pengawas memulai ulang.