AWSWindowsインスタンスでのBitlockerドライブの暗号化
AWS上の単一のWindowsServer 2012インスタンスのデータを保護する最善の方法を見つけようとしています。「 AWS_Securing_Data_at_Rest_with_Encryption.pdf 」によると:
「Windowsインスタンスに接続されたAmazonEBSボリュームの暗号化は、BitLockerまたは暗号化ファイルシステム(EFS)と、TrueCryptなどのオープンソースアプリケーションを使用して実行できます。いずれの場合も、これらの暗号化方法にキーを提供する必要があり、データの暗号化のみが可能です。ボリューム。」
「TrendMicroSecureCloudとSafeNetProtectVはどちらも、Amazon EBSボリュームを暗号化し、KMIを含む2つのパートナー製品です。どちらの製品も、データボリュームに加えてブートボリュームも暗号化できます。」
したがって、上記のSaaS暗号化製品がなければ、ブートボリュームを保護する無料の方法はありませんか?
これは古い質問ですが、保存データを保護する別の方法は、EC2インスタンスに2つ目のボリュームを作成し、そのボリュームをBitLockerで暗号化することです。
AWSは現在 EBSデータボリュームのボリュームレベルの暗号化 を提供しています。ボリュームを作成するときにチェックボックスをオンにするだけです。
参考:CrystalDiskMarkを使用して、暗号化なしのEBS、BitLockerを使用したEBS、AWS暗号化を使用したEBS、さまざまなIOPSレベルのST1、GP2、IO1ボリュームを比較してかなり集中的なパフォーマンス測定を実行しました。
私の結論は、BitLockerは読み取りMB /秒あたり約.1cpu-core%、書き込み1 MB /秒あたり約.4cpu-core%を使用するということです。 BitLockerには15%の書き込みスループットペナルティもあります(つまり、ピークMB /秒はBitLockerを使用すると15%少なくなります)。
EBS暗号化はBitLockerの約1/10のCPUを使用し、書き込みスループットのペナルティは約半分であるように見えるため、パフォーマンスとBitLockerの使用コスト以外に何らかの理由がない限り、EBS暗号化が最適です。
私のテストはi3.4xLで行われました(cpu-core%は、i2、i4、およびその他のタイプのインスタンスで多少異なる場合があります)。
BitLockerは、一般的なドライブ暗号化に関する私の個人的な経験の中で最良のソリューションです。 BitLockerの問題は、TPMが必要なことです。AWSのハードウェアがTPMを提供するかどうかはわかりません。そうでない場合は、TrueCryptが次善の選択肢だと思いますが、マシンを起動するたびに復号化パスワードを入力する必要があります。