Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitar el cifrado de datos en tránsito para el sistema de archivos de Amazon EFS se realiza habilitando TLS (Transport Layer Security) cuando se monta el sistema de archivos mediante dicho ayudante de montaje de Amazon EFS. Para obtener más información, consulte Montaje de sistemas de archivos de EFS mediante el ayudante de montaje de EFS.
Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema de archivos de Amazon EFS, el ayudante de montaje inicializa un proceso stunnel cliente. Stunnel es una retransmisión de red multipropósito de código abierto. El proceso de stunnel cliente escucha en un puerto local el tráfico entrante y el ayudante de montaje redirige el tráfico de cliente de sistema de archivos de red (NFS) a este puerto local. El ayudante de montaje usa TLS versión 1.2 para comunicarse con su sistema de archivos.
Cómo funciona el cifrado en tránsito
Para habilitar el cifrado de datos en tránsito, Amazon EFS se conecta mediante TLS. Recomendamos utilizar el asistente de montaje de EFS para montar el sistema de archivos, ya que simplifica el proceso de montaje en comparación con el montaje con mount de NFS. El asistente de montaje de EFS gestiona el proceso mediante stunnel para TLS. Aunque no utilice el ayudante de montaje, puede habilitar el cifrado de datos en tránsito. A grandes rasgos, los pasos para hacerlo son los siguientes:
Para habilitar el cifrado de datos en tránsito sin el ayudante de montaje de EFS
-
Descargue e instale
stunnel, y anote el puerto en que la aplicación escucha. Consulte Actualización de stunnel para obtener instrucciones al respecto. -
Ejecute
stunnelpara conectarse al sistema de archivos de Amazon EFS en el puerto 2049 mediante TLS. -
Utilizando el cliente NFS, monte
localhost:, dondeportport
Debido a que el cifrado de datos en tránsito se configura según cada base de conexión, cada montaje configurado tiene un proceso stunnel específico que se ejecuta en la instancia. De forma predeterminada, el proceso de stunnel utilizado por el ayudante de montaje de EFS escucha en los puertos locales 20049 y 21049 y se conecta con Amazon EFS en el puerto 2049.
nota
De forma predeterminada, cuando se utiliza el ayudante de montaje de Amazon EFS con TLS, el ayudante de montaje aplica la comprobación de nombre de host del certificado. El ayudante de montaje de Amazon EFS utiliza el programa stunnel para la funcionalidad de TLS. Algunas versiones de Linux no incluyen una versión de stunnel que admita estas características de TLS de forma predeterminada. Cuando se utiliza una de esas versiones de Linux, montar un sistema de archivos de Amazon EFS mediante TLS da error.
Una vez instalado el amazon-efs-utils paquete, para actualizar la versión de stunnel para su sistema, consulteActualización de stunnel.
Si tiene problemas con el cifrado, consulte Resolución de problemas de cifrado.
Cuando se utiliza el cifrado de datos en tránsito, la configuración de su cliente NFS se modifica. Cuando inspecciona los sistemas de archivos montados activamente, verá uno montado en 127.0.0.1 o localhost, tal y como se muestra en el siguiente ejemplo.
$mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Cuando monta con TLS y el ayudante de montaje de Amazon EFS, vuelve a configurar el cliente NFS para montar en un puerto local. El ayudante de montaje de EFS inicia un proceso stunnel de cliente que escucha en este puerto local y stunnel abre una conexión cifrada al sistema de archivos de EFS usando TLS. El ayudante de montaje de EFS es responsable de la configuración y el mantenimiento de esta conexión cifrada y la configuración asociada.
Para determinar qué ID de sistema de archivos de Amazon EFS corresponde a qué punto de montaje, puede utilizar el siguiente comando. Reemplace efs-mount-point
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Cuando utiliza el ayudante de montaje para el cifrado de datos en tránsito, también se crea un proceso denominado amazon-efs-mount-watchdog. Este proceso de vigilancia garantiza que cada proceso de stunnel del montaje se está ejecutando y detiene el stunnel cuando el sistema de archivos de Amazon EFS está desmontado. Si por alguna razón un proceso de stunnel termina de forma inesperada, el proceso del watchdog lo reinicia.
