Essa é uma pergunta antiga, mas outra maneira de proteger seus dados em repouso seria criar um segundo volume em sua instância do EC2 e criptografar esse volume com o BitLocker.
Estou tentando descobrir a melhor forma de proteger os dados de uma única instância do Windows Server 2012 na AWS e de acordo com " AWS_Securing_Data_at_Rest_with_Encryption.pdf "diz:
"Encrypting Amazon EBS volumes attached to Windows instances can be done using BitLocker or Encrypted File System (EFS) as well as open source applications like TrueCrypt. In either case, you still need to provide keys to these encryption methods and you can only encrypt data volumes."
"Both Trend Micro SecureCloud and SafeNet ProtectV are two such partner products that encrypt Amazon EBS volumes and include a KMI. Both products are able to encrypt boot volumes in addition to data volumes."
Portanto, sem os produtos de criptografia SaaS mencionados acima, não há uma maneira gratuita de proteger o volume de inicialização?
Essa é uma pergunta antiga, mas outra maneira de proteger seus dados em repouso seria criar um segundo volume em sua instância do EC2 e criptografar esse volume com o BitLocker.
O BitLocker seria a melhor solução em minha experiência pessoal com criptografia de unidade em geral. O problema com o BitLocker é que requer um TPM, não sei se o hardware da AWS apresenta um TPM ou não. Se não, eu diria que o TrueCrypt é a melhor opção, mas requer que você digite a senha de descriptografia toda vez que iniciar a máquina.
A AWS agora fornece nível de volume criptografia para volumes de dados do EBS . Basta marcar a caixa ao criar o volume.
FYI: Eu executei medições de desempenho bastante intensivas usando o CrystalDiskMark comparando EBS sem criptografia, EBS com BitLocker e EBS com criptografia AWS, com volumes ST1, GP2 e IO1 com vários níveis de IOPS.Minha conclusão é que o BitLocker usa aproximadamente 0,1 cpu-core% por MB / s de leitura e cerca de 0,4 cpu-core% por MB / s por escrito. O BitLocker também tem uma penalidade de taxa de transferência de gravação de 15% (ou seja, o pico de MB / s é 15% menor com o BitLocker).
A criptografia EBS usa cerca de 1/10 da CPU do BitLocker e parece ter metade da penalidade de taxa de gravação, portanto, a menos que haja algum motivo além do desempenho e do custo para usar o BitLocker, a criptografia EBS é o caminho a ser seguido. / p>
Meu teste foi feito em um i3.4xL (o cpu-core% pode variar um pouco em i2, i4 e outros tipos de instâncias).