วิธีการแปลง EBS ที่ไม่ได้เข้ารหัสเป็นการเข้ารหัส


18

ฉันมีจำนวน EBS ที่เก่ากว่าซึ่งไม่ได้เข้ารหัส ในการปฏิบัติตามมาตรการรักษาความปลอดภัยใหม่ขององค์กรข้อมูลทั้งหมดจะต้อง "เข้ารหัสที่เหลือ" ดังนั้นฉันจึงจำเป็นต้องแปลงโวลุ่มทั้งหมดให้เข้ารหัส

อะไรคือวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้?

คำตอบ:


37

เป็นไปได้ที่จะคัดลอกสแน็ปช็อต EBS ที่ไม่ได้เข้ารหัสไปยังสแน็ปช็อต EBS ที่เข้ารหัส ดังนั้นสามารถใช้กระบวนการต่อไปนี้:

  1. หยุดอินสแตนซ์ EC2 ของคุณ
  2. สร้างสแนปชอต EBS ของไดรฟ์ข้อมูลที่คุณต้องการเข้ารหัส
  3. คัดลอกสแน็ปช็อต EBS เข้ารหัสสำเนาในกระบวนการ
  4. สร้างโวลุ่ม EBS ใหม่จากสแนปชอต EBS ที่เข้ารหัสใหม่ของคุณ ปริมาณ EBS ใหม่จะถูกเข้ารหัส
  5. ถอดโวลุ่ม EBS ดั้งเดิมและแนบโวลุ่ม EBS ที่เข้ารหัสใหม่ของคุณตรวจสอบให้แน่ใจว่าตรงกับชื่ออุปกรณ์ (/ dev / xvda1 ฯลฯ )

1
ว้าว. ไม่รู้ว่าด้านอะไร สิ่งที่ดี.
สีเทา

2
เพียงแค่เป็นคนที่คลั่งไคล้คุณคลิกที่สแนปชอตที่ไม่มีการเข้ารหัสดึงลงเพื่อคัดลอกและคลิกที่ปุ่มเข้ารหัสเพื่อเข้ารหัสการคัดลอก
สีเทา

4
gotcha หนึ่งน้อย ตรวจสอบให้แน่ใจว่าอินสแตนซ์ของคุณรองรับ EBS ที่เข้ารหัสเช่นกัน เป็นไปได้ว่าคุณอาจอยู่ในกรณีที่ไม่มี แต่มันเป็นเพียงเรื่องของการหยุดอินสแตนซ์แล้วเปลี่ยนประเภท
Dave Beer

ด้วยเหตุผลบางอย่างหลังจากทำเช่นนี้ไดรฟ์ข้อมูลที่เข้ารหัสจะถูกเมาท์เป็นแบบอ่านอย่างเดียวเท่านั้น ...
Douglas Gaskell

คุณมนุษย์เป็นผู้ชาย
อรัญ

0

[[นี่ไม่ใช่คำตอบที่ถูกต้องและไม่ใช่วิธีที่เราทำสิ่งต่าง ๆ ในตอนนี้ แต่ฉันจะทิ้งไว้ที่นี่ในกรณีที่คนอื่นพบว่ายูทิลิตี้บางอย่างเพื่อทำมัน "ยาก" ]]

กระบวนการต่อไปนี้ทำงานได้ดีสำหรับเราในการแปลงปริมาณ EBS ปัจจุบันของเราให้เป็นปริมาณที่เข้ารหัส

  • สร้างวอลุ่มที่มีขนาดที่แน่นอนเหมือนกันและอยู่ในโซนสภาพพร้อมใช้งานเดียวกันกับโวลุ่มที่ไม่ได้เข้ารหัส แต่เปิดใช้การเข้ารหัส หากโวลุ่มเก่ามีชื่อว่า "XYZ" ให้ตั้งชื่อโวลุ่มใหม่เป็น "XYZ ใหม่" เพื่อที่คุณจะได้ไม่ต้องเสียเวลาติดตาม เราใช้คีย์การเข้ารหัสลับ AWS เริ่มต้น แต่มีตัวเลือกอื่น ๆ ในเอกสาร EBS
  • บูตอินสแตนซ์ linux ชั่วคราวเป็นเครื่องแปลงเป็นโซนความพร้อมใช้งานเช่นเดียวกับปริมาณ อินสแตนซ์ที่มีขนาดใหญ่จริง ๆ จะทำอย่างไรแม้ว่าอินสแตนซ์ที่ได้รับการปรับให้เหมาะสมของ EBS อาจทำให้การโยกย้ายเสร็จเร็วขึ้น
  • ปิดอินสแตนซ์ด้วยโวลุ่มที่ไม่ได้เข้ารหัสปัจจุบัน
  • ถอดโวลุ่มที่ไม่ได้เข้ารหัสจากอินสแตนซ์
  • แนบโวลุ่มที่ไม่ได้เข้ารหัสกับอินสแตนซ์ของตัวแปลง ดูอุปกรณ์ที่กล่องโต้ตอบแนบระบุว่ากำลังติดตั้งเป็น /dev/sdfปริมาณที่เพิ่มขึ้นเป็นครั้งแรกควรจะเป็นสิ่งที่ชอบ
  • แนบโวลุ่มที่เข้ารหัสใหม่ซึ่งคุณเพิ่งสร้างขึ้นไปยังอินสแตนซ์ของตัวแปลง /dev/sdgปริมาณเพิ่มเติมที่สองอาจจะเป็น
  • ล็อกอินเข้าสู่อินสแตนซ์ของตัวแปลงเป็นรูทหรือในฐานะผู้ใช้ที่มีสิทธิ์เข้าถึง sudo
  • หากคุณดู/proc/diststatsไฟล์ที่ด้านล่างคุณจะเห็นสิ่งที่ชอบxvdfและxvdgที่สอดคล้องกับพาร์ติชันเพิ่มเติมที่แนบมา ชื่ออาจแตกต่างกันไปขึ้นอยู่กับตัวแปร / รุ่นเคอร์เนลของ Linux ที่คุณใช้ หากมีคำถามใด ๆ คุณสามารถตรวจสอบ/proc/diststatsไฟล์ก่อนที่จะแนบเพื่อดูว่ามีการเพิ่มพาร์ทิชันใด

    ...
    # root partition
    202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
    # swap partion
    202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
    # first attached drive, corresponds to /dev/xvdf
    202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
    # second attached drive, corresponds to /dev/xvdg
    202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
    
  • รันddคำสั่งต่อไปนี้เพื่อคัดลอกไดรฟ์ข้อมูลที่ไม่ได้เข้ารหัสลับไปยังโวลุ่มที่เข้ารหัสปลายทาง คำเตือน:คำสั่งนี้สามารถทำลายได้อย่างมาก ใช้เวลาของคุณ ตรวจสอบสองครั้งตัดครั้งเดียว มีใครบางคนมองข้ามไหล่ของคุณ สิ่งเหล่านี้จะช่วยคุณในการกำจัดข้อมูลของคุณ มาระวังกันหน่อยสิ!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
    dd bs=16k if=/dev/xvdf of=/dev/xvdg
    
  • รอให้คำสั่ง dd เสร็จสิ้นและกลับไปที่พรอมต์คำสั่ง ในกรณีของเราดิสก์ 16GB ใช้เวลาประมาณ 5 นาทีเพื่อให้คุณสามารถคำนวณทางคณิตศาสตร์ได้มากขึ้น ไมล์สะสมของคุณอาจแตกต่างกันไป
  • แยกทั้งวอลลุ่มเข้ารหัสและเข้ารหัสใหม่จากอินสแตนซ์ตัวแปลง
  • แนบโวลุ่มที่เข้ารหัสใหม่ไปยังอินสแตนซ์ที่ใช้โวลุ่มที่ไม่ได้เข้ารหัสก่อนและบูต
  • เมื่อมาถึงทำสิ่งที่คุณต้องทำเพื่อตรวจสอบว่าระบบดูดี
  • เปลี่ยนชื่อปริมาณจาก "XYZ" เป็น "XYZ เก่า" เปลี่ยนชื่อ "XYZ ใหม่" เป็น "XYZ" ทิ้งไว้ที่โวลุ่ม "XYZ เก่า" ในกรณีที่คุณต้องการเปลี่ยนกลับหากมีปัญหา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.