Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos en tránsito
Amazon EFS admite el cifrado de los datos en tránsito con Transport Layer Security (TLS). Cuando el cifrado de los datos en tránsito se declara como una opción de montaje para el sistema de archivos EFS, Amazon EFS establece una conexión TLS segura con el sistema de archivos EFS al montarlo. Todo el tráfico NFS se enruta a través de esta conexión cifrada.
Cómo funciona el cifrado en tránsito
Recomendamos utilizar el asistente de montaje de EFS para montar el sistema de archivos, ya que simplifica el proceso de montaje en comparación con el montaje con mount de NFS. El asistente de montaje de EFS gestiona el proceso mediante efs-proxy (para efs-utils versión 2.0.0 y posteriores) o stunnel (para las versiones anteriores de efs-utils) para establecer una conexión TLS segura con el sistema de archivos EFS.
Aunque no utilice el ayudante de montaje, puede habilitar el cifrado de datos en tránsito. A continuación se indican los pasos para hacerlo.
Para habilitar el cifrado de los datos en tránsito sin utilizar el asistente de montaje
-
Descargue e instale
stunnel, y anote el puerto en que la aplicación escucha. Para obtener más información, consulte Actualización de stunnel. -
Ejecute
stunnelpara conectarse al sistema de archivos EFS en el puerto 2049 mediante TLS. -
Utilizando el cliente NFS, monte
localhost:, dondeportport
Debido a que el cifrado de datos en tránsito se configura según cada base de conexión, cada montaje configurado tiene un proceso stunnel específico que se ejecuta en la instancia. De forma predeterminada, el proceso stunnel utilizado por el asistente de montaje escucha en un puerto local entre 20049 y 20449 y se conecta a Amazon EFS en el puerto 2049.
nota
De forma predeterminada, cuando se utiliza el asistente de montaje de EFS con TLS, se exige el uso del Protocolo de estado de certificados en línea (OCSP) y la comprobación del nombre de host del certificado. El asistente de montaje EFS utiliza el programa stunnel para su funcionalidad TLS. Algunas versiones de Linux no incluyen una versión de stunnel que admita estas características de TLS de forma predeterminada. Cuando se utiliza una de esas versiones de Linux, montar un sistema de archivos de EFS mediante TLS da error.
Una vez instalado el amazon-efs-utils paquete, para actualizar la versión de stunnel de su sistema, consulte. Actualización de stunnel
Si tiene problemas con el cifrado, consulte Resolución de problemas de cifrado.
Cuando se utiliza el cifrado de datos en tránsito, la configuración de su cliente NFS se modifica. Cuando inspecciona los sistemas de archivos montados activamente, verá uno montado en 127.0.0.1 o localhost, tal y como se muestra en el siguiente ejemplo.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Al realizar el montaje con TLS y el asistente de montaje EFS, se reconfigura el cliente NFS para que se monte en un puerto local. El ayudante de montaje de EFS inicia un proceso stunnel de cliente que escucha en este puerto local y stunnel abre una conexión cifrada al sistema de archivos de EFS usando TLS. El ayudante de montaje de EFS es responsable de la configuración y el mantenimiento de esta conexión cifrada y la configuración asociada.
Para determinar qué ID de sistema de archivos de Amazon EFS corresponde a qué punto de montaje, puede utilizar el siguiente comando. Recuerde sustituirla por efs-mount-point la ruta local en la que ha montado el sistema de archivos.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Cuando se utiliza el asistente de montaje de EFS para cifrar los datos en tránsito, también se crea un proceso denominadoamazon-efs-mount-watchdog. Este proceso garantiza que el proceso de túnel de cada montaje se esté ejecutando y detiene el túnel cuando se desmonta el sistema de archivos EFS. Si por alguna razón un proceso de stunnel termina de forma inesperada, el proceso del watchdog lo reinicia.
