Amazon verschlüsselt Elastic Block Store

Amazon Elastic Block Store wird sicherer. Künftig bietet Amazon Web Services hier eine bequeme Funktion, um gespeicherte Daten in EBS gegen unberechtigten Zugriff zu schützen.

Volumenverschlüsselung in Amazon EBS. Quelle: Amazon
Volumenverschlüsselung in Amazon EBS. Quelle: Amazon

Amazon Web Services (AWS) gibt die Verfügbarkeit von Verschlüsselung bei Amazon Elastic Block Store (Amazon EBS) bekannt. Daten, die auf einem EBS-Volume gespeichert sind, lassen sich ab sofort mit einer einfachen Einstellung schnell schützen. Das gilt neben Daten auch für Disk I/O und Snapshots.

Voraussetzung ist allerdings, dass diese von dem gleichen Volumen erstellt werden. Die Verschlüsselung über einen 256-bit AES-Schlüssel ist ab sofort in allen acht AWS-Regionen ohne Aufpreis verfügbar. Ein Key-Management sei für den Anwender aufgrund der EBS-Struktur nicht nötig, teilt Amazon Chief Evangelist Jeff Barr in einem Blog mit.

Die Encodierung findet dabei auf dem Host-Server der EC2-Instanzen statt, wobei Daten während der Übertragung von EC2-Instanz zu EBS-Speicher verschlüsselt werden. Amazon EBS bietet Volumes für persistente Speicherung auf Blockebene zur Verwendung mit Amazon EC2-Instances in der AWS-Cloud. Jedes Amazon EBS-Volume wird in seiner Availability Zone automatisch repliziert, um Schutz bei Ausfall von Komponenten zu gewährleisten, was für hohe Verfügbarkeit und Beständigkeit sorgt.

Barr erklärt weiter, dass sich die Verschlüsselung eines provisionierten IOPS (PIOPS) Volumes nur minimal auf die Leistung und die Latenz auswirke. Auch auf die Service Level Agreements wirke sich die Verschlüsselung nicht aus.
Die Snapshots eines verschlüsselten EBS-Volumens seien laut Barr ebenfalls verschlüsselt und können zwischen verschiedenen AWS-Regionen hin und her verschoben werden. Es sei jedoch nicht möglich, die verschlüsselten Snapshots mit anderen AWS-Accounts zu teilen, oder diese zu veröffentlichen. Die EBS-Verschlüsselung ist lediglich in den EC2-Instanzen-Typen M3, C3, R3, CR1, G2, and I2 verfügbar.

console_create_ebs_encrypted_volume_1
Amazon Elastic Block Store, das persistentes Storage für Amazon Web Service bietet, lässt sich ab sofort mit einem Mausklick verschlüsseln. Quelle: Amazon.de

Ebenfalls nicht möglich sei die Verschlüsselung eines bestehenden EBS-Volumens. Um bestehende Volumen zu verschlüsseln, müssen die Daten in ein neues Volumen umgezogen werden, Amazon empfiehlt dazu Rsync für Linux oder Robocopy für Windows.

Amazon bietet bei gespeicherten Daten bereits eine Server-seitige Verschlüsselung für Amazon S3, Glacier, Redshift sowie über RDS eine Verschlüsselung für Oracel und SQL Server. Bewegte Daten sichert Amazon mit SSL/TLS in CloudFront, RDS und Elastic Load Balancing.