Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos en tránsito
Amazon EFS admite el cifrado de datos en tránsito con seguridad de la capa de transporte (TLS). Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema de archivos de EFS, Amazon EFS establece una conexión TLS segura con su sistema de archivos de EFS al montarlo. Todo el tráfico de NFS se enruta a través de esta conexión cifrada.
Cómo funciona el cifrado en tránsito
Recomendamos utilizar el asistente de montaje de EFS para montar el sistema de archivos, ya que simplifica el proceso de montaje en comparación con el montaje con mount de NFS. El ayudante de montaje de EFS administra el proceso mediante efs-proxy (para efs-utils versión 2.0.0 y posteriores) o stunnel (para las versiones anteriores de efs-utils) para establecer una conexión TLS segura con el sistema de archivos de EFS.
Aunque no utilice el ayudante de montaje, puede habilitar el cifrado de datos en tránsito. Para ello, realice los siguientes pasos.
Cómo habilitar el cifrado de datos en tránsito sin el ayudante de montaje
-
Descargue e instale
stunnel, y anote el puerto en que la aplicación escucha. Para obtener más información, consulte Actualización de stunnel. -
Ejecute
stunnelpara conectarse al sistema de archivos de EFS en el puerto 2049 mediante TLS. -
Utilizando el cliente NFS, monte
localhost:, dondeportport
Debido a que el cifrado de datos en tránsito se configura según cada base de conexión, cada montaje configurado tiene un proceso stunnel específico que se ejecuta en la instancia. De forma predeterminada, el proceso de stunnel utilizado por el ayudante de montaje escucha en un puerto local entre 20049 y 20449, y se conecta a Amazon EFS en el puerto 2049.
nota
De forma predeterminada, cuando se utiliza el ayudante de montaje de EFS con TLS, se aplica el uso del protocolo OCSP (Online Certificate Status Protocol) y la comprobación del nombre de host del certificado. El ayudante de montaje de EFS utiliza el programa stunnel para la funcionalidad de TLS. Algunas versiones de Linux no incluyen una versión de stunnel que admita estas características de TLS de forma predeterminada. Cuando se utiliza una de esas versiones de Linux, montar un sistema de archivos de EFS mediante TLS da error.
Después de instalar el paquete amazon-efs-utils, para actualizar la versión de stunnel del sistema, consulte Actualización de stunnel.
Si tiene problemas con el cifrado, consulte Resolución de problemas de cifrado.
Cuando se utiliza el cifrado de datos en tránsito, la configuración de su cliente NFS se modifica. Cuando inspecciona los sistemas de archivos montados activamente, verá uno montado en 127.0.0.1 o localhost, tal y como se muestra en el siguiente ejemplo.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Cuando se realiza el montaje con TLS y el ayudante de montaje de EFS, vuelve a configurar el cliente NFS para el montaje en un puerto local. El ayudante de montaje de EFS inicia un proceso stunnel de cliente que escucha en este puerto local y stunnel abre una conexión cifrada al sistema de archivos de EFS usando TLS. El ayudante de montaje de EFS es responsable de la configuración y el mantenimiento de esta conexión cifrada y la configuración asociada.
Para determinar qué ID de sistema de archivos de Amazon EFS corresponde a qué punto de montaje, puede utilizar el siguiente comando. Recuerde sustituir efs-mount-point por la ruta local donde ha montado el sistema de archivos.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Cuando se utiliza el ayudante de montaje de EFS para el cifrado de datos en tránsito, también se crea un proceso denominado amazon-efs-mount-watchdog. Este proceso de vigilancia garantiza la ejecución de cada proceso de stunnel del montaje y detiene el proceso stunnel cuando se desmonta el sistema de archivos de EFS. Si por alguna razón un proceso de stunnel termina de forma inesperada, el proceso del watchdog lo reinicia.
