Pregunta Cómo convertir un EBS sin cifrar para cifrar


Tengo un número de volúmenes EBS más antiguos que no están cifrados. Al satisfacer las nuevas medidas de seguridad corporativa, todos los datos deben estar "cifrados en reposo", por lo que debo convertir todos los volúmenes a cifrar.

Cuál es la mejor manera de lograr esto?


13
2018-05-24 16:51


origen




Respuestas:


Es posible copiar una instantánea de EBS sin cifrar en una instantánea de EBS cifrada. Así se puede utilizar el siguiente proceso:

  1. Detenga su instancia de EC2.
  2. Cree una instantánea de EBS del volumen que desea cifrar.
  3. Copie la instantánea de EBS, cifrando la copia en el proceso.
  4. Cree un nuevo volumen de EBS a partir de su nueva instantánea de EBS cifrada. El nuevo volumen de EBS será encriptado.
  5. Desconecte el volumen EBS original y adjunte su nuevo volumen EBS cifrado, asegurándose de que coincida con el nombre del dispositivo (/ dev / xvda1, etc.)

26
2018-05-25 00:59



Guau. No sabía que Matt. Bueno uno - Gray
Solo para ser pedante, haga clic en la instantánea sin cifrar, tire hacia abajo para copiar, y haga clic en el botón cifrar para cifrar la copia. - Gray
Un pequeño gotcha. Asegúrese de que su instancia sea compatible con EBS cifrada también. Es posible que estés en una instancia que no lo haga. Pero solo es cuestión de detener la instancia, luego cambiar el tipo. - Dave Beer


[[Esta no es la respuesta correcta y no cómo hacemos las cosas ahora, pero dejaré esto aquí en caso de que alguien más encuentre alguna utilidad para hacerlo de la "manera difícil". ]]

El siguiente proceso funcionó bien para convertir nuestros volúmenes de EBS existentes a volúmenes encriptados.

  • Crear un volumen de la mismo tamaño exacto y en la misma zona de disponibilidad que el volumen sin cifrar pero con el cifrado habilitado. Si el volumen anterior se llama "XYZ", nombre el nuevo volumen como "Nuevo XYZ" para que no lo pierda de vista. Estamos utilizando las claves de cifrado predeterminadas de AWS, pero hay otras opciones en el Documentos de EBS.
  • Inicie una instancia de linux temporal como la máquina convertidora en la misma zona de disponibilidad que el volumen. Realmente cualquier instancia de tamaño funcionará, aunque las instancias optimizadas de EBS pueden completar la migración más rápido.
  • Cierre la instancia con el volumen actual sin cifrar.
  • Desacoplar el volumen sin cifrar de la instancia.
  • Adjunte el volumen sin cifrar a la instancia del convertidor. Mira el dispositivo que el cuadro de diálogo adjuntar dice que se está montando como. El primer volumen adicional debe ser algo así como /dev/sdf.
  • Adjunte el nuevo volumen cifrado que acaba de crear también a la instancia del convertidor. El segundo volumen adicional probablemente será /dev/sdg.
  • Inicie sesión en la instancia del convertidor como root o como usuario con acceso sudo.
  • Si nos fijamos en el /proc/diststats archivo, en la parte inferior deberías ver algo como xvdf y xvdg Que corresponden a las particiones adicionales adjuntas. Los nombres pueden ser diferentes según la variante / versión del kernel de Linux que esté utilizando. Si hay alguna duda, puedes consultar el /proc/diststats archivo antes de adjuntar para ver qué particiones se agregan.

    ...
    # root partition
    202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
    # swap partion
    202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
    # first attached drive, corresponds to /dev/xvdf
    202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
    # second attached drive, corresponds to /dev/xvdg
    202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
    
  • Ejecutar el siguiente dd comando para copiar desde el volumen no cifrado de origen al volumen cifrado de destino. ADVERTENCIA: Este comando puede ser extremadamente destructivo. Tome su tiempo. Compruebe dos veces, corte una vez. Que alguien mire por encima de tu hombro. Esto te ayudará a deshacerte de tus datos. ¡Tengamos cuidado ahí fuera!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
    dd bs=16k if=/dev/xvdf of=/dev/xvdg
    
  • Espere a que termine el comando dd y regrese a la línea de comandos. En nuestras instancias, un disco de 16 GB tomó ~ 5 minutos para que pueda hacer los cálculos más grandes. Su experiencia puede ser diferente.
  • Desconecte los volúmenes encriptados y los nuevos encriptados de la instancia del convertidor.
  • Adjunte el nuevo volumen cifrado a la instancia que estaba utilizando el volumen no cifrado antes y reinícielo.
  • Cuando surja, haga lo que debe hacer para validar que el sistema se ve bien.
  • Cambie el nombre del volumen de "XYZ" a "Old XYZ". Cambia el nombre de "Nuevo XYZ" por "XYZ". Deje el volumen "Old XYZ" en caso de que necesite revertir si hubiera problemas.

0
2018-05-24 16:51