Criptografando instantâneos do Amazon EBS

Question

Criptografando instantâneos do Amazon EBS

#1 resposta do (4 votos)
#2 resposta do (1 votos)

2

Adoraria se alguém pudesse me ajudar com isso:

A configuração é uma arquitetura LAMP distribuída hospedada em instâncias do Amazon EC2. MySQL Percona. Usamos os instantâneos do EBS da Amazon para backups. Temos um requisito de segurança para criptografia de dados confidenciais. \

1) É possível criptografar instantâneos do EBS e não o sistema de arquivos do EBS do qual os instantâneos são obtidos? Se sim, como? 2) Se não, quais são os padrões da indústria para criptografar bancos de dados MySQL no EC2 + EBS e quais são os trade-offs de desempenho para esses métodos diferentes?

encryption amazon-ec2 amazon-ebs database-backup

por d.howser 13.08.2012 / 18:56

2 respostas

Tags encryption amazon-ec2 amazon-ebs database-backup

Os hosts IPv6 configuram a rota padrão com o endereço local de link do roteador Executando drivers de impressora de 32 bits em um Windows 7 Pro de 64 bits

score 4 · Answer 1

nota: Essa resposta estava correta no momento da postagem. A Amazon desde adicionou a criptografia EBS como um recurso .

Respostas:

[1] Não, e eis o motivo - link

[2] Para criptografar bancos de dados, você também terá que criptografar a conexão que, se você usar o RDS, é suportada - link e se você usar seu próprio MySQL em uma instância, você pode configurá-lo para aceitar conexões SSL.

Para criptografar o próprio banco de dados mysql, consulte - link que usa o AES 128 que é aprovado pelo FIPS. Isso pode ajudar também - link

score 1 · Answer 2

Você não forneceu detalhes suficientes sobre seus requisitos de segurança para uma resposta completa, mas uma forma simples de garantir que os instantâneos do MySQL sejam criptografados é salvar o banco de dados MySQL em cima de um dispositivo de bloco criptografado em cima de um EBS. volume.

Você pode fazer isso com o cryptsetup / LUKS, que suporta criptografia padrão do setor.

As camadas ficariam assim:

3 - Database files

2 - File system (XFS or ext4)

1 - Encrypted block device (cryptsetup)

0 - EBS volume (/dev/xvdX or /dev/sdX)

Tudo o que é enviado para o EBS é então criptografado, incluindo os instantâneos.