Como converter um EBS não criptografado para ser criptografado

13

Eu tenho um número de volumes EBS mais antigos que não são criptografados. Para atender às novas medidas de segurança corporativa, todos os dados precisam ser "criptografados em repouso", portanto, preciso converter todos os volumes para serem criptografados.

Qual é a melhor maneira de conseguir isso?

    
por Gray 24.05.2016 / 18:51

2 respostas

27

É possível copiar um instantâneo não criptografado do EBS para um instantâneo criptografado do EBS. Então o seguinte processo pode ser usado:

  1. Pare sua instância do EC2.
  2. Crie um instantâneo do EBS do volume que você deseja criptografar.
  3. Copie o instantâneo do EBS, criptografando a cópia no processo.
  4. Crie um novo volume do EBS a partir do seu novo snapshot criptografado do EBS. O novo volume do EBS será criptografado.
  5. Separe o volume do EBS original e anexe seu novo volume criptografado do EBS, certificando-se de corresponder ao nome do dispositivo (/ dev / xvda1, etc.)
por 25.05.2016 / 02:59
0

[[Esta não é a resposta correta e não como fazemos as coisas agora, mas deixarei isso aqui, caso alguém encontre alguma utilidade para fazê-lo da maneira mais difícil. ]]

O processo a seguir funcionou bem para convertermos nossos volumes existentes do EBS em volumes criptografados.

  • Crie um volume do mesmo tamanho exato e na mesma zona de disponibilidade que o volume não criptografado, mas com a criptografia ativada. Se o volume antigo tiver o nome "XYZ", nomeie o novo volume como "New XYZ" para não perder o controle. Estamos usando as chaves de criptografia padrão da AWS, mas há outras opções nos documentos da EBS .
  • Inicialize uma instância temporária do Linux como a máquina do conversor na mesma zona de disponibilidade que o volume. Realmente qualquer instância de tamanho fará, embora as instâncias otimizadas do EBS possam concluir a migração mais rapidamente.
  • Desligue a instância com o volume não criptografado atual.
  • Desanexe o volume não criptografado da instância.
  • Anexe o volume não criptografado à instância do conversor. Observe o dispositivo que a caixa de diálogo anexar indica que está sendo montada. O primeiro volume adicional deve ser algo como /dev/sdf .
  • Anexe o novo volume criptografado que você acabou de criar também à instância do conversor. O segundo volume adicional provavelmente será /dev/sdg .
  • Faça login na instância do conversor como root ou como um usuário com acesso sudo.
  • Se você olhar o arquivo /proc/diststats , na parte inferior, você verá algo como xvdf e xvdg , que correspondem às partições adicionais anexadas. Os nomes podem ser diferentes dependendo da variante / versão do kernel do Linux que você está usando. Se houver alguma dúvida, você pode verificar o arquivo /proc/diststats antes de anexar para ver quais partições foram adicionadas.

    ...
    # root partition
    202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
    # swap partion
    202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
    # first attached drive, corresponds to /dev/xvdf
    202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
    # second attached drive, corresponds to /dev/xvdg
    202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
    
  • Execute o seguinte comando dd para copiar do volume não criptografado de origem para o volume criptografado de destino. AVISO: Este comando pode ser extremamente destrutivo. Não tenha pressa. Verifique duas vezes, corte uma vez. Alguém olhe por cima do seu ombro. Isso ajudará você a remover seus dados. Vamos ter cuidado lá fora!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
    dd bs=16k if=/dev/xvdf of=/dev/xvdg
    
  • Aguarde até que o comando dd termine e retorne ao prompt de comando. Em nossos casos, um disco de 16GB levou ~ 5 minutos para que você possa fazer as contas com maior. Sua milhagem pode variar.
  • Separe os volumes criptografados e não criptografados da instância do conversor.
  • Anexe o novo volume criptografado à instância que estava usando o volume não criptografado antes e inicialize-o.
  • Quando isso acontecer, faça o que você precisa fazer para validar se o sistema parece ser bom.
  • Renomeie o volume de "XYZ" para "Old XYZ". Renomeie "New XYZ" para ser "XYZ". Deixe em torno do volume "Old XYZ" para o caso de você precisar reverter se houver problemas.
por 24.05.2016 / 18:51