Был бы рад, если бы кто-нибудь мог мне помочь с этим:
Установка представляет собой распределенную архитектуру LAMP, размещенную на инстансах Amazon EC2. MySQL Percona. Для резервного копирования мы используем снимки Amazon EBS. У нас есть требование безопасности для шифрования конфиденциальных данных. \
1) Можно ли зашифровать снимки состояния EBS, а не файловую систему EBS, из которой они сделаны? Если да, то как? 2) Если нет, каковы отраслевые стандарты для шифрования баз данных MySQL в EC2 + EBS и каковы компромиссы производительности для этих различных методов?
нота: Этот ответ был правильным на момент публикации. Amazon с тех пор добавлено шифрование EBS в качестве функции.
Ответы:
[1] Нет, и вот почему - http://aws.amazon.com/ec2/faqs/#Do_you_offer_encryption_on_Amazon_EBS_volumes_or_snapshots
[2] Для шифрования баз данных вам также необходимо будет зашифровать соединение, которое, если вы используете RDS, поддерживается - http://aws.amazon.com/rds/faqs/#53 и если вы используете свой собственный MySQL на экземпляре, вы можете настроить его на прием SSL-соединений.
Для шифрования самой базы данных mysql см. - http://thinkdiff.net/mysql/encrypt-mysql-data-using-aes-techniques/ который использует AES 128, одобренный FIPS. Это тоже может помочь - http://planet.mysql.com/?tag_search=6679
Вы не предоставили достаточно информации о своих требованиях к безопасности для полного ответа, но один из простых способов убедиться, что ваши снимки MySQL зашифрованы, - это сохранить базу данных MySQL поверх зашифрованного блочного устройства поверх тома EBS.
Вы можете сделать это с помощью cryptsetup / LUKS, который поддерживает стандартное шифрование.
Слои будут выглядеть так:
3 - Database files
2 - File system (XFS or ext4)
1 - Encrypted block device (cryptsetup)
0 - EBS volume (/dev/xvdX or /dev/sdX)
Все, что отправлено в EBS, будет зашифровано, включая снимки.