我正在尝试找出如何最好地保护 AWS 上单个 Windows Server 2012 实例的数据,并根据“AWS_Securing_Data_at_Rest_with_Encryption.pdf“ 它说:
“可以使用 BitLocker 或加密文件系统 (EFS) 以及 TrueCrypt 等开源应用程序加密连接到 Windows 实例的 Amazon EBS 卷。无论哪种情况,您仍然需要为这些加密方法提供密钥,并且只能加密数据卷。”
“Trend Micro SecureCloud 和 SafeNet ProtectV 都是这样的合作伙伴产品,它们可以加密 Amazon EBS 卷并包含 KMI。除了数据卷之外,这两种产品都能够加密引导卷。”
那么,如果没有上述提到的 SaaS 加密产品,是否就没有免费的方法来保护启动卷呢?
答案1
这是一个老问题,但保护静态数据的另一种方法是在 EC2 实例上创建第二个卷并使用 BitLocker 加密该卷。
答案2
就我个人的经验而言,BitLocker 是一般驱动器加密的最佳解决方案。BitLocker 的问题是它需要 TPM,我不知道 AWS 的硬件是否提供 TPM。如果没有,我会说 TrueCrypt 是次佳选择,但每次启动机器时都需要输入解密密码。
答案3
AWS 现在提供EBS 数据卷的卷级加密。创建卷时选中该框即可。
仅供参考:我使用 CrystalDiskMark 进行了一些相当密集的性能测量,比较了没有任何加密的 EBS、带有 BitLocker 的 EBS 和带有 AWS 加密的 EBS,以及具有不同 IOPS 级别的 ST1、GP2 和 IO1 卷。
我的结论是,BitLocker 读取每 MB/秒大约使用 .1 个 CPU 核心,写入每 MB/秒大约使用 .4 个 CPU 核心。BitLocker 的写入吞吐量也会降低 15%(即,使用 BitLocker 后,峰值 MB/秒会降低 15%)。
EBS 加密使用的 CPU 数量大约是 BitLocker 的 1/10,并且写入吞吐量损失似乎只有 BitLocker 的一半,因此,除非出于性能和成本之外的原因而使用 BitLocker,否则 EBS 加密是最佳选择。
我的测试是在 i3.4xL 上进行的(i2、i4 和其他类型的实例上的 cpu 核心百分比可能略有不同)。