如果有人能帮我解决这个问题,
该设置是在Amazon EC2实例上托pipe的分布式LAMP体系结构。 MySQL Percona。 我们使用亚马逊的EBS快照进行备份。 我们有敏感数据encryption的安全要求。 \
1)是否可以encryptionEBS快照而不是从中获取快照的EBS文件系统? 如果是这样,怎么样? 2)如果不是,在EC2 + EBS中encryptionMySQL数据库的行业标准是什么?这些不同方法的性能权衡是什么?
注意:这个答案在发布时是正确的。 亚马逊已经添加了EBSencryptionfunction 。
回答:
[1]不,这是为什么 – http://aws.amazon.com/ec2/faqs/#Do_you_offer_encryption_on_Amazon_EBS_volumes_or_snapshots
[2]对于encryption数据库,你也将不得不encryption连接,如果你使用RDS支持 – http://aws.amazon.com/rds/faqs/#53 ,如果你在一个实例上使用你自己的MySQL ,您可以将其设置为接受SSL连接。
要encryptionmysql数据库本身,请参阅http://thinkdiff.net/mysql/encrypt-mysql-data-using-aes-techniques/ ,它使用经FIPS批准的AES 128。 这也可以帮助 – http://planet.mysql.com/?tag_search=6679
您没有提供足够的安全需求细节以获得完整的答案,但确保您的MySQL快照已encryption的一种简单方法是将MySQL数据库保存在EBS卷顶部的encryption块设备上。
你可以用支持行业标准encryption的cryptsetup / LUKS来做到这一点。
图层看起来像这样:
3 - Database files 2 - File system (XFS or ext4) 1 - Encrypted block device (cryptsetup) 0 - EBS volume (/dev/xvdX or /dev/sdX) 发送给EBS的所有内容都将被encryption,包括快照。