Amazon의 데이터 암호화 EFS - Amazon Elastic File System
전송 중 암호화 작동 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 데이터 암호화 EFS

EFSAmazon은 파일 시스템에 대해 두 가지 형태의 암호화, 즉 전송 데이터 암호화와 저장 데이터 암호화를 지원합니다. Amazon EFS 파일 시스템을 생성할 때 저장된 데이터의 암호화를 활성화할 수 있습니다. 파일 시스템을 탑재할 때 전송 중 데이터 암호화를 활성화할 수 있습니다.

명령줄 인터페이스 또는 API an을 AWS 통해 액세스할 때 FIPS 140-2개의 검증된 암호화 모듈이 필요한 경우 엔드포인트를 사용하십시오. FIPS 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 연방 정보 처리 표준 () 140-2를 참조하십시오. FIPS

조직이 유휴 상태의 데이터 및 메타데이터 암호화를 요구하는 기업 정책이나 규제 정책을 준수해야 하는 경우 전송 중 데이터 암호화를 사용하여 파일 시스템을 탑재하는 유휴 암호화된 파일 시스템을 생성하는 것이 좋습니다.

전송 중 암호화 작동 방식

전송 중인 데이터를 암호화하려면 를 EFS 사용하여 Amazon에 연결합니다TLS. EFS마운트 도우미를 사용하여 파일 시스템을 마운트하는 것이 좋습니다. 마운트를 사용하면 마운트할 때보다 마운트 프로세스가 간단해지기 때문입니다. NFS mount EFS마운트 도우미는 for를 사용하여 프로세스를 관리합니다. stunnel TLS 탑재 도우미를 사용하지 않아도 전송 중 데이터 암호화를 활성화할 수 있습니다. 다음은 고수준에서 이를 처리하는 단계별 방법입니다.

EFS마운트 헬퍼를 사용하지 않고 전송 중인 데이터를 암호화할 수 있도록 하려면

  1. stunnel을 다운로드해 설치하고, 애플리케이션이 수신 대기하는 포트를 기록합니다. 해당 지침은 stunnel 업그레이드 섹션을 참조하세요.

  2. stunnel를 실행하여 포트 2049를 사용하여 TLS Amazon EFS 파일 시스템에 연결합니다.

  3. NFS클라이언트를 사용하여 localhost:port 마운트하십시오. 첫 번째 단계에서 기록해 둔 port 포트는 어디에 있습니까?

연결 별로 전송 중 데이터 암호화를 구성했기 때문에, 구성한 각 탑재에서는 전용 stunnel 프로세스가 인스턴스에서 실행됩니다. 기본적으로 EFS 마운트 도우미가 사용하는 stunnel 프로세스는 20049~21049 범위의 로컬 포트에서 수신 대기하며 포트 2049를 통해 Amazon에 연결됩니다. EFS

참고

기본적으로 Amazon EFS 마운트 도우미를 와 함께 TLS 사용하는 경우 마운트 도우미는 인증서 호스트 이름 검사를 시행합니다. Amazon EFS mount 도우미는 TLS 기능을 위해 stunnel 프로그램을 사용합니다. 일부 Linux 버전에는 기본적으로 이러한 TLS 기능을 지원하는 stunnel 버전이 포함되어 있지 않습니다. 이러한 Linux 버전 중 하나를 사용하는 경우 Amazon EFS 파일 시스템을 사용하여 TLS 마운트하면 실패합니다.

amazon-efs-utils 패키지를 설치한 후 시스템의 stunnel 버전을 업그레이드하려면 을 참조하십시오stunnel 업그레이드.

암호화 관련 문제는 암호화 문제 해결을 참조하세요.

전송 중 데이터 암호화를 사용하는 경우 NFS 클라이언트 설정이 변경됩니다. 능동적으로 탑재한 파일 시스템을 검사할 때, 다음 예와 같이 127.0.0.1이나 localhost에 탑재된 파일 시스템을 확인할 수 있습니다.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Amazon EFS mount Helper를 사용하여 TLS 마운트하는 경우 로컬 포트에 마운트하도록 NFS 클라이언트를 재구성하는 것입니다. EFS마운트 도우미는 이 로컬 포트에서 수신 중인 클라이언트 stunnel 프로세스를 시작하고 를 사용하여 EFS 파일 stunnel 시스템에 대한 암호화된 연결을 엽니다. TLS EFS마운트 도우미는 이 암호화된 연결 및 관련 구성을 설정하고 유지 관리하는 역할을 합니다.

다음 명령을 사용하여 Amazon EFS 파일 시스템 ID가 로컬 마운트 지점에 해당하는지 확인할 수 있습니다. efs-mount-point를 파일 시스템이 탑재된 로컬 경로로 바꿉니다.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

전송 중 데이터 암호화에 탑재 도우미를 사용하면 amazon-efs-mount-watchdog이라는 프로세스가 생성됩니다. 이 프로세스는 각 마운트의 stunnel 프로세스가 실행되도록 하고 Amazon EFS 파일 시스템이 마운트 해제되면 stunnel을 중지합니다. 어떤 이유로 stunnel 프로세스가 예기치 않게 종료된 경우, 이 감시 프로세스가 stunnel 프로세스를 다시 시작합니다.