Я пытаюсь понять, как лучше всего защитить данные одного экземпляра Windows Server 2012 на AWS и согласно "AWS_Securing_Data_at_Rest_with_Encryption.pdf"он говорит:
«Шифрование томов Amazon EBS, подключенных к экземплярам Windows, можно выполнить с помощью BitLocker или зашифрованной файловой системы (EFS), а также приложений с открытым исходным кодом, таких как TrueCrypt. В любом случае вам все равно нужно предоставить ключи для этих методов шифрования, и вы можете только зашифровать данные тома ".
«И Trend Micro SecureCloud, и SafeNet ProtectV - два таких партнерских продукта, которые шифруют тома Amazon EBS и включают KMI. Оба продукта могут шифровать загрузочные тома в дополнение к томам данных».
Итак, без вышеупомянутых продуктов для шифрования SaaS нет бесплатного способа защитить загрузочный том?
Это старый вопрос, но еще один способ защитить ваши данные в состоянии покоя - создать второй том на вашем экземпляре EC2 и зашифровать этот том с помощью BitLocker.
AWS теперь предоставляет шифрование на уровне томов для объемов данных EBS. Просто установите флажок при создании тома.
К вашему сведению: я провел несколько довольно интенсивных измерений производительности с помощью CrystalDiskMark, сравнивая EBS без какого-либо шифрования, EBS с BitLocker и EBS с шифрованием AWS, с томами ST1, GP2 и IO1 с различными уровнями IOPS.
Я пришел к выводу, что BitLocker использует примерно 0,1% ядра процессора на МБ / с при чтении и около 0,4% ядра процессора на 1 МБ / с при записи. BitLocker также снижает пропускную способность записи на 15% (т. Е. Пиковый МБ / с на 15% меньше с BitLocker).
Шифрование EBS использует примерно 1/10 от количества ЦП, чем BitLocker, и, по-видимому, имеет примерно половину потери пропускной способности записи, поэтому, если нет какой-либо причины, помимо производительности и стоимости, для использования BitLocker, шифрование EBS является лучшим решением.
Мое тестирование проводилось на i3.4xL (cpu-core% может несколько отличаться на i2, i4 и других типах экземпляров).
BitLocker был бы лучшим решением в моем личном опыте с шифрованием дисков в целом. Проблема с BitLocker в том, что для этого требуется TPM, я не знаю, есть ли на оборудовании AWS TPM или нет. Если это не так, я бы сказал, что TrueCrypt - следующий лучший вариант, но требует, чтобы вы вводили пароль дешифрования каждый раз при запуске машины.