fbpx

Segurança no AWS EBS

awsebssec1
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

O Amazon EBS permite criar volumes de armazenamento de 1 GB a 16 TB que podem ser montados como dispositivos pelas instâncias do Amazon EC2.

Os volumes de armazenamento se comportam como dispositivos de bloco não formatados brutos, com nomes de dispositivos fornecidos pelo usuário e uma interface de dispositivo de bloco. Você pode criar um sistema de arquivos sobre os volumes do Amazon EBS ou usá-los de qualquer outra maneira que usaria um dispositivo de bloco (como um disco rígido).

O acesso ao volume Amazon EBS é restrito à conta da AWS que criou o volume e aos usuários da conta da AWS criada com o AWS IAM (se o usuário tiver acesso concedido às operações do EBS). Todas as outras contas e usuários da AWS têm permissão negada para exibir ou acessar o volume.

Os dados armazenados nos volumes do Amazon EBS são redundantemente armazenados em vários locais físicos, como parte da operação normal desses serviços e sem custo adicional.

No entanto, a replicação do Amazon EBS é armazenada na mesma zona de disponibilidade, não em várias zonas; portanto, é altamente recomendável que você realize snapshots regulares no Amazon S3 para durabilidade dos dados a longo prazo.

Para clientes que arquitetaram bancos de dados transacionais complexos usando o Amazon EBS, recomenda-se que os backups do Amazon S3 sejam executados por meio do sistema de gerenciamento de banco de dados, para que as transações e logs distribuídos possam ser verificados.

A AWS não executa automaticamente backups de dados mantidos em discos virtuais conectados a instâncias em execução no Amazon EC2.

Você pode disponibilizar publicamente os snapshots de volume do Amazon EBS para outras contas da AWS para usar como base para a criação de volumes duplicados.

O compartilhamento de snapshots de volume do Amazon EBS não fornece a outras contas da AWS a permissão para alterar ou excluir o snapshot original, pois esse direito é explicitamente reservado para a conta da AWS que criou o volume. Um snapshot do Amazon EBS é uma visualização em nível de bloco de um volume inteiro do Amazon EBS.

Observe que dados que não são visíveis no sistema de arquivos no volume, como arquivos que foram excluídos, podem estar presentes no snapshot do Amazon EBS. Se você deseja criar snapshots compartilhados, faça com tanto cuidado. Se um volume contiver dados confidenciais ou tiver arquivos excluídos, você deverá criar um novo volume do Amazon EBS para compartilhar.

Os dados a serem contidos na captura instantânea compartilhada devem ser copiados para o novo volume e a captura instantânea criada a partir do novo volume.

Os volumes do Amazon EBS são apresentados a você como dispositivos de bloco não formatados brutos que foram limpos antes de serem disponibilizados para uso. A limpeza ocorre imediatamente antes da reutilização, para que você possa ter certeza de que o processo de limpeza foi concluído. Se você tiver procedimentos que exijam a limpeza de todos os dados por meio de um método específico, poderá fazê-lo no Amazon EBS.

Você deve realizar um procedimento de limpeza especializado antes de excluir o volume para conformidade com os requisitos estabelecidos.

A criptografia de dados confidenciais geralmente é uma boa prática de segurança, e a AWS fornece a capacidade de criptografar volumes do Amazon EBS e seus snapshots com o Advanced Encryption Standard (AES) -256.

A criptografia ocorre nos servidores que hospedam as instâncias do Amazon EC2, fornecendo criptografia de dados à medida que eles se movem entre as instâncias do Amazon EC2 e o armazenamento do Amazon EBS. Para poder fazer isso de forma eficiente e com baixa latência, o recurso de criptografia do Amazon EBS está disponível apenas nos tipos de instância mais poderosos do Amazon EC2.

Comentários do Facebook

Conteúdos relacionados