2 votes

d.howser avatar

Cryptage des instantanés Amazon EBS

Demandé el 13 de Août, 2012
Quand la question a-t-elle été
2008 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'aimerais que quelqu'un puisse m'aider à ce sujet :

La configuration est une architecture LAMP distribuée hébergée sur des instances Amazon EC2. MySQL Percona. Nous utilisons les snapshots EBS d'Amazon pour les sauvegardes. Nous avons une exigence de sécurité pour le cryptage des données sensibles. \

1) Est-il possible de chiffrer les instantanés EBS et non le système de fichiers EBS à partir duquel les instantanés sont pris ? Si oui, comment ? 2) Si ce n'est pas le cas, quels sont les standards de l'industrie pour crypter les bases de données MySQL dans EC2 + EBS et quels sont les compromis de performance pour ces différentes méthodes ?

Demandé el 13 de Août, 2012 par d.howser

0 votes

Avatar de srikanthM

Si vos exigences stipulent que les données doivent être cryptées, comment sont-elles cryptées dans l'état de production ? Sont-elles cryptées par les fonctions intégrées de MySQL ou par un cryptage standard au niveau du disque ?

Commenté el 13 de Août, 2012 par srikanthM

0 votes

Avatar de Logic Labs

Pour les personnes qui atterrissent ici, veuillez noter qu'AWS prend désormais en charge le cryptage des volumes EBS. Les instantanés créés à partir d'un volume crypté sont également cryptés. en savoir plus AWS gère les clés pour vous - pour beaucoup de gens, c'est une bénédiction, car ils feront probablement un meilleur travail que vous. Pour les défenseurs de la vie privée et les personnes qui s'opposent à la NSA et au Patriot Act, ce serait une rupture de contrat.

Commenté el 4 de Juin, 2014 par Logic Labs

Réponses

Trop de publicités?

4voto

Chida avatar
Chida Points 2461

note : Cette réponse était correcte au moment de l'affichage. Amazon a depuis ajout du cryptage EBS en tant que fonctionnalité .

Des réponses :

[1] Non, et voici pourquoi http://aws.amazon.com/ec2/faqs/#Do_you_offer_encryption_on_Amazon_EBS_volumes_or_snapshots

[2] Pour crypter les bases de données, vous devrez également crypter la connexion qui, si vous utilisez RDS, est prise en charge http://aws.amazon.com/rds/faqs/#53 et si vous utilisez votre propre MySQL sur une instance, vous pouvez le configurer pour accepter les connexions SSL.

Pour le cryptage de la base de données mysql elle-même, voir -- http://thinkdiff.net/mysql/encrypt-mysql-data-using-aes-techniques/ qui utilise AES 128 qui est approuvé par FIPS. Cela peut aussi aider http://planet.mysql.com/?tag_search=6679

Répondu el 13 de Août, 2012 par Chida (2461 Points )

0 votes

Avatar de Sirex

C'est plus une preuve qu'un pourquoi. Je suis pédant.

Commenté el 14 de Août, 2012 par Sirex

1voto

codewise avatar
codewise Points 436

Vous n'avez pas fourni suffisamment de détails sur vos exigences de sécurité pour une réponse complète, mais une façon simple de s'assurer que vos instantanés MySQL sont cryptés est d'enregistrer la base de données MySQL au-dessus d'un périphérique de bloc crypté au-dessus d'un volume EBS.

Vous pouvez le faire avec cryptsetup/LUKS qui prend en charge le cryptage standard de l'industrie.

Les couches ressembleraient à ceci :

3 - Database files

2 - File system (XFS or ext4)

1 - Encrypted block device (cryptsetup)

0 - EBS volume (/dev/xvdX or /dev/sdX)

Tout ce qui est envoyé à EBS serait alors crypté, y compris les instantanés.

Répondu el 13 de Août, 2012 par codewise (436 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X