Volúmenes de EBS: ¿por qué deben cifrarse?

Los volúmenes de EBS contienen sus datos. Si bien no todos los datos pueden clasificarse como información significativa, siempre son útiles. La pregunta es, ¿a quién servirán sus datos, a usted o a un actor de amenazas? Si desea que sus datos estén protegidos, manténgalos encriptados. Siga leyendo para obtener más información.

¿Qué es EBS?

Elastic Block Store (EBS) es un servicio de almacenamiento de bloques bajo demanda ofrecido por Amazon Web Services (AWS). ASW es ​​responsable de la infraestructura del servicio y los clientes de EBS obtienen acceso a una variedad de controles de administración de almacenamiento en bloque.

EBS es ideal para el almacenamiento de grandes volúmenes de datos, especialmente instancias de Elastic Compute Cloud (EC2) de Amazon. EBS admite datos estructurados y no estructurados, que se pueden transferir y transmitir desde contenedores, aplicaciones, sistemas de archivos y motores de big data.

¿Qué es un volumen de EBS?

En EBS, los volúmenes de datos se almacenan en bloques. Un bloque funciona como una unidad de almacenamiento: tiene capacidades de almacenamiento únicas, incluido un cierto nivel de capacidad de lectura y escritura, con una velocidad medida de forma única y métricas de latencia y ancho de banda individuales que afectan su rendimiento. Eso significa que puede establecer un comportamiento único para cada bloque de volumen de EBS. Para conocer algunas de las funciones menos conocidas de los volúmenes de EBS, consulte este Blog.

Por parte de AWS, hay un sistema operativo basado en servidor que organiza toda la operación. Como respaldo predeterminado integrado, el sistema replica volúmenes en la zona de disponibilidad (AZ). Los clientes de EBS pueden cambiar esto mediante el uso de la plataforma AWS, que proporcionó características para optimizar los costos y el rendimiento de los volúmenes de EBS.

Tipos de volumen de EBS

Amazon EBS clasifica los tipos de volumen en dos categorías distintas de uso de memoria:

  • Almacenamiento en unidades de estado sólido (SSD)—para el almacenamiento persistente de datos. Los clientes de EBS pueden elegir entre el SSD de uso general (GP2) de EBS predeterminado, que equilibra los costos de rendimiento, y el SSD IOPS provisionado de EBS (IO1), que proporciona el nivel más alto de velocidad. Eso convierte a IO1 en el tipo de volumen más caro.
  • Almacenamiento en unidades de disco duro (HDD)—para un alto nivel de rendimiento. Los clientes de EBS pueden elegir entre Throughput Optimized HDD (ST1), que proporciona un módulo de almacenamiento rentable para cargas de trabajo de rendimiento intensivo, y Cold HDD (SC1), que proporciona un módulo de almacenamiento de bajo costo para cargas de trabajo a las que se accede con poca frecuencia.

Por qué debería cifrar los volúmenes de EBS

1. Seguridad

El cifrado es un mecanismo de seguridad que convierte texto sin formato (datos legibles) en texto cifrado (codificación ilegible). Una vez que se cifran los datos de texto sin formato, solo una clave de descifrado o una contraseña pueden hacerlos legibles. Eso significa que si un actor de amenazas obtiene acceso a los datos, deberá robar o adivinar las claves de descifrado. De lo contrario, no podrán leer los datos.

2. Comodidad

EBS ofrece cifrado integrado para volúmenes de datos de EBS, volúmenes de arranque de EBS e instantáneas de EBS. El proceso de encriptación ocurre automáticamente y no necesita administrar las claves de encriptación. Este mecanismo protegerá sus volúmenes de EBS en reposo y los datos en tránsito que pasan entre servidores EC2. Este nivel de cifrado se ofrece sin costo adicional.

Cómo funciona el cifrado en EBS

Hay dos niveles de cifrado en EBS: el cifrado integrado gratuito y AWS KMS (Servicio de administración de claves) que tiene niveles gratuitos y de pago. Como se explicó anteriormente, el cifrado incorporado es un proceso automático que no requiere ningún esfuerzo de su parte. Sin embargo, el cifrado integrado no incluye la gestión de claves. Puede hacerlo utilizando AWS KMS.

AWS KMS proporciona funciones para controlar las operaciones criptográficas que se ejecutan en los volúmenes de EBS. En palabras simples, KMS proporciona la infraestructura necesaria para administrar las claves de cifrado. Mediante el uso de claves maestras de clientes (CMK), los clientes de EBS pueden personalizar y controlar las claves de acuerdo con las necesidades únicas de las aplicaciones y el control de acceso de sus usuarios.

AWS KMS ofrece tres tipos diferentes de claves maestras de cliente (CMK):

  • CMK administradas por el cliente—creado y administrado por los clientes de KMS. Tiene control total sobre la cantidad, el uso y el posterior precio de las claves.
  • CMK administradas por AWS—creado y administrado por AWS. Puede ver las claves, pero no administrarlas. Estos se crean automáticamente en EBS cuando crea un volumen.
  • CMK propiedad de AWS—propiedad y administración de AWS. Estas claves no están sujetas a costos de precios ni limitaciones de uso.

Cómo cifrar un volumen de EBS

El método más común para cifrar un volumen de EBS es crear un nuevo volumen de EBS. Así es como puedes hacer eso:

  1. Vaya a la ‘Consola de administración de Amazon EC2’, haga clic en ‘Volúmenes’ y luego seleccione ‘Crear volumen’.
  2. Complete la información de su volumen, incluido el tipo, el tamaño y la Zona de disponibilidad (AZ).
  3. Seleccione la casilla ‘Cifrado’ que dice ‘Cifrar este volumen’. Esto abrirá un cuadro con una visualización de las CMK disponibles.
  4. Seleccione la CMK administrada por AWS, que puede aparecer como “(predeterminada) aws/ebs”. Esto mostrará las funciones predeterminadas de KMS para el cifrado.
  5. Crea tu volumen.

Una vez que se crea un volumen, no podrá cambiar su configuración de cifrado. Si eso sucede y desea cifrar un volumen de EBS cifrado existente, primero deberá crear una instantánea de EBS y luego convertirla en un volumen de EBS. Así es como se hace:

  1. Ubique y luego seleccione el volumen sin cifrar
  2. Haga clic en ‘Acciones’ y luego seleccione ‘Copiar’.
  3. Espere hasta que el sistema termine de crear su instantánea.
  4. Vaya a ‘Tienda de bloques elásticos’ y elija ‘Instantáneas’.
  5. Localice su instantánea de Ned y selecciónela.
  6. Haga clic en ‘Acciones’ y luego seleccione ‘Copiar’.
  7. Seleccione la casilla ‘Cifrado’ que dice ‘Cifrar esta instantánea’. Esto abrirá un cuadro con una visualización de las CMK disponibles.
  8. Elija la CMK de su preferencia (o use la predeterminada). Esto mostrará los detalles de su clave de cifrado.
  9. Cuando esté listo, haga clic en ‘Copiar’. Esto creará su instantánea, así que asegúrese de que le guste la configuración antes de hacer clic.
  10. En la página “Instantánea”, seleccione su nueva instantánea.
  11. Haga clic en ‘Acciones’ y luego seleccione ‘Crear volumen’.
  12. La configuración de ‘Cifrado’ de su volumen se establecerá en ‘Verdadero’. Eso significa que el cifrado del volumen será idéntico al de la instantánea. No podrás cambiar esto.

¡Es una envoltura!

El cifrado protege sus datos. Puede utilizar la función de cifrado EBS integrada (y gratuita). Si desea un sistema de administración de claves organizado, use KVM. Tiene un nivel gratuito, y cuando alcance grandes volúmenes, no se arrepentirá de configurarlo. Le salvará de ahogarse bajo claves mal administradas. El cifrado en EBS es fácil y simple y vale la pena hacer unos pocos clics para configurarlo.

Similar Posts

Leave a Reply

Your email address will not be published.