如果有人能帮助我解决这个问题,我会很高兴:
该设置是托管在 Amazon EC2 实例上的分布式 LAMP 架构。MySQL Percona。我们使用 Amazon 的 EBS 快照进行备份。我们对敏感数据加密有安全要求。\
1) 是否可以加密 EBS 快照而不加密从中获取快照的 EBS 文件系统?如果可以,该怎么做?2) 如果不能,那么在 EC2 + EBS 中加密 MySQL 数据库的行业标准是什么,这些不同方法的性能权衡是什么?
答案1
笔记:此答案在发布时是正确的。亚马逊此后添加了 EBS 加密功能。
答案:
[1] 不是,原因如下——http://aws.amazon.com/ec2/faqs/#Do_you_offer_encryption_on_Amazon_EBS_volumes_or_snapshots
[2] 对于加密数据库,你还必须加密连接,如果你使用 RDS,则受支持——http://aws.amazon.com/rds/faqs/#53如果您在实例上使用自己的 MySQL,则可以将其设置为接受 SSL 连接。
对于加密 mysql 数据库本身,请参阅--http://thinkdiff.net/mysql/encrypt-mysql-data-using-aes-techniques/它使用 FIPS 批准的 AES 128。这也可能有帮助——http://planet.mysql.com/?tag_search=6679
答案2
您没有提供足够的有关安全要求的详细信息以获得完整的答案,但确保 MySQL 快照加密的一个直接方法是将 MySQL 数据库保存在 EBS 卷顶部的加密块设备之上。
您可以使用支持行业标准加密的 cryptsetup/LUKS 来执行此操作。
这些层看起来如下:
3 - Database files
2 - File system (XFS or ext4)
1 - Encrypted block device (cryptsetup)
0 - EBS volume (/dev/xvdX or /dev/sdX)
发送到 EBS 的所有内容(包括快照)都将被加密。