Criptografando dados na Amazon EFS - Amazon Elastic File System
Como funciona a criptografia em trânsito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando dados na Amazon EFS

A Amazon EFS oferece suporte a duas formas de criptografia para sistemas de arquivos: criptografia de dados em trânsito e criptografia em repouso. Você pode ativar a criptografia de dados em repouso ao criar um sistema de EFS arquivos da Amazon. Você pode ativar a criptografia de dados em trânsito ao montar o sistema de arquivos.

Se você precisar de FIPS 140-2 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte Federal Information Processing Standard (FIPS) 140-2.

Se sua organização está sujeita a políticas corporativas ou regulatórias que exigem a criptografia de dados e metadados em repouso, recomendamos a criação de um sistema de arquivos criptografado para montar seus sistema usando a criptografia de dados em trânsito.

Como funciona a criptografia em trânsito

Para habilitar a criptografia de dados em trânsito, você se conecta à Amazon EFS usandoTLS. Recomendamos usar o auxiliar de EFS montagem para montar seu sistema de arquivos porque ele simplifica o processo de montagem em comparação com a montagem com. NFS mount O auxiliar de EFS montagem gerencia o processo usando stunnel forTLS. Se você não usa o assistente de montagem, ainda pode ativar a criptografia de dados em trânsito. Veja a seguir as etapas a serem seguidas para fazer isso.

Para habilitar a criptografia de dados em trânsito sem usar o auxiliar de EFS montagem

  1. Faça download e instale o stunnel e anote a porta em que o aplicativo está recebendo. Consulte Como atualizar o stunnel para obter instruções sobre como fazer isso.

  2. Execute stunnel para se conectar ao seu sistema de EFS arquivos da Amazon na porta 2049 usandoTLS.

  3. Usando o NFS cliente, montelocalhost:port, onde port está a porta que você anotou na primeira etapa.

Como a criptografia de dados em trânsito é configurada por conexão, cada montagem configurada tem um processo de stunnel dedicado em execução na instância. Por padrão, o stunnel processo usado pelo auxiliar de EFS montagem escuta em uma porta local que varia de 20049 a 21049 e se conecta à Amazon na porta 2049. EFS

nota

Por padrão, ao usar o assistente de EFS montagem da Amazon comTLS, o auxiliar de montagem impõe a verificação do nome do host do certificado. O assistente de EFS montagem da Amazon usa o stunnel programa para sua TLS funcionalidade. Algumas versões do Linux não incluem uma versão do stunnel que suporte esses TLS recursos por padrão. Ao usar uma dessas versões do Linux, a montagem de um sistema de EFS arquivos da Amazon usando TLS falha.

Depois de instalar o amazon-efs-utils pacote, para atualizar a versão do stunnel do seu sistema, consulteComo atualizar o stunnel.

Para problemas com criptografia, consulte Solução de problemas de criptografia.

Ao usar a criptografia de dados em trânsito, a configuração NFS do seu cliente é alterada. Ao inspecionar os sistemas de arquivos montados ativamente, você verá um sistema montado para 127.0.0.1 ou localhost, como no exemplo a seguir.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Ao montar com TLS o assistente de montagem da AmazonEFS, você está reconfigurando seu NFS cliente para ser montado em uma porta local. O auxiliar de EFS montagem inicia um stunnel processo cliente que está escutando nessa porta local e stunnel está abrindo uma conexão criptografada com o sistema de EFS arquivos usandoTLS. O auxiliar de EFS montagem é responsável por configurar e manter essa conexão criptografada e a configuração associada.

Para determinar qual ID EFS do sistema de arquivos da Amazon corresponde a qual ponto de montagem local, você pode usar o comando a seguir. Substitua efs-mount-point pelo caminho local onde montou o sistema de arquivos.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Quando você usa o assistente de montagem para criptografia de dados em trânsito, ele também cria um processo chamado amazon-efs-mount-watchdog. Esse processo garante que o processo de tunnel de cada montagem esteja em execução e interrompe o stunnel quando o sistema de EFS arquivos da Amazon é desmontado. Se, por algum motivo, um processo de stunnel for encerrado inesperadamente, o processo de watchdog o reiniciará.