Criptografando instantâneos do Amazon EBS

2

Adoraria se alguém pudesse me ajudar com isso:

A configuração é uma arquitetura LAMP distribuída hospedada em instâncias do Amazon EC2. MySQL Percona. Usamos os instantâneos do EBS da Amazon para backups. Temos um requisito de segurança para criptografia de dados confidenciais. \

1) É possível criptografar instantâneos do EBS e não o sistema de arquivos do EBS do qual os instantâneos são obtidos? Se sim, como? 2) Se não, quais são os padrões da indústria para criptografar bancos de dados MySQL no EC2 + EBS e quais são os trade-offs de desempenho para esses métodos diferentes?

    
por d.howser 13.08.2012 / 18:56

2 respostas

4

nota: Essa resposta estava correta no momento da postagem. A Amazon desde adicionou a criptografia EBS como um recurso .

Respostas:

[1] Não, e eis o motivo - link

[2] Para criptografar bancos de dados, você também terá que criptografar a conexão que, se você usar o RDS, é suportada - link e se você usar seu próprio MySQL em uma instância, você pode configurá-lo para aceitar conexões SSL.

Para criptografar o próprio banco de dados mysql, consulte - link que usa o AES 128 que é aprovado pelo FIPS. Isso pode ajudar também - link

    
por 13.08.2012 / 19:12
1

Você não forneceu detalhes suficientes sobre seus requisitos de segurança para uma resposta completa, mas uma forma simples de garantir que os instantâneos do MySQL sejam criptografados é salvar o banco de dados MySQL em cima de um dispositivo de bloco criptografado em cima de um EBS. volume.

Você pode fazer isso com o cryptsetup / LUKS, que suporta criptografia padrão do setor.

As camadas ficariam assim:

3 - Database files

2 - File system (XFS or ext4)

1 - Encrypted block device (cryptsetup)

0 - EBS volume (/dev/xvdX or /dev/sdX)

Tudo o que é enviado para o EBS é então criptografado, incluindo os instantâneos.

    
por 13.08.2012 / 23:16