전송 중 데이터 암호화 - Amazon Elastic File System
전송 중 암호화 작동 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

전송 중 데이터 암호화

Amazon 탑재 EFS 도우미를 사용하여 EFS 파일 시스템을 탑재할 때 전송 계층 보안(TLS)을 활성화하면 Amazon 파일 시스템에 전송 중인 데이터의 암호화가 활성화됩니다. 자세한 내용은 EFS마운트 도우미를 사용하여 EFS 파일 시스템을 마운트합니다. 단원을 참조하십시오.

전송 중인 데이터의 암호화가 Amazon EFS 파일 시스템의 탑재 옵션으로 선언되면 탑재 도우미는 클라이언트 스터널 프로세스를 초기화합니다. Stunnel은 다목적 오픈 소스 네트워크 릴레이입니다. 클라이언트 스튜널 프로세스는 로컬 포트에서 인바운드 트래픽을 수신 대기하고 탑재 도우미는 Network File System(NFS) 클라이언트 트래픽을 이 로컬 포트로 리디렉션합니다. 탑재 도우미는 TLS 버전 1.2를 사용하여 파일 시스템과 통신합니다.

전송 중 암호화 작동 방식

전송 중인 데이터의 암호화를 활성화하려면 를 EFS 사용하여 Amazon에 연결합니다TLS. EFS 탑재 도우미를 사용하여 파일 시스템을 탑재하는 것이 좋습니다. 를 사용하여 탑재하는 것과 비교하여 탑재 프로세스를 간소화하기 때문입니다NFSmount. EFS 탑재 도우미는 stunnel 용 를 사용하여 프로세스를 관리합니다TLS. 탑재 도우미를 사용하지 않아도 전송 중 데이터 암호화를 활성화할 수 있습니다. 다음은 고수준에서 이를 처리하는 단계별 방법입니다.

EFS 탑재 도우미를 사용하지 않고 전송 중인 데이터의 암호화를 활성화하려면

  1. stunnel을 다운로드해 설치하고, 애플리케이션이 수신 대기하는 포트를 기록합니다. 해당 지침은 stunnel 업그레이드 섹션을 참조하세요.

  2. stunnel 를 실행하여 를 사용하여 포트 2049의 Amazon EFS 파일 시스템에 연결합니다TLS.

  3. NFS 클라이언트를 사용하여 를 탑재합니다. localhost:port여기서 port는 첫 번째 단계에서 기록한 포트입니다.

연결 별로 전송 중 데이터 암호화를 구성했기 때문에, 구성한 각 탑재에서는 전용 stunnel 프로세스가 인스턴스에서 실행됩니다. 기본적으로 EFS 탑재 도우미가 사용하는 stunnel 프로세스는 20049~21049 범위의 로컬 포트에서 수신 대기하며 포트 2049의 AmazonEFS에 연결됩니다.

참고

기본적으로 에서 Amazon EFS 탑재 도우미TLS를 사용하는 경우 탑재 도우미는 인증서 호스트 이름 확인을 적용합니다. Amazon EFS 탑재 도우미는 stunnel 프로그램을 TLS 기능에 사용합니다. 일부 Linux 버전에는 기본적으로 이러한 TLS 기능을 지원하는 터널 버전이 포함되어 있지 않습니다. 이러한 Linux 버전 중 하나를 사용하는 경우 를 사용하여 Amazon EFS 파일 시스템을 탑재하는 데 TLS 실패합니다.

amazon-efs-utils 패키지를 설치한 후 시스템 버전의 터널을 업그레이드하려면 섹션을 참조하세요stunnel 업그레이드.

암호화 관련 문제는 암호화 문제 해결을 참조하세요.

전송 중인 데이터의 암호화를 사용하면 NFS 클라이언트 설정이 변경됩니다. 능동적으로 탑재한 파일 시스템을 검사할 때, 다음 예와 같이 127.0.0.1이나 localhost에 탑재된 파일 시스템을 확인할 수 있습니다.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

TLS 및 Amazon EFS 탑재 도우미를 사용하여 탑재할 때 로컬 포트에 탑재하도록 NFS 클라이언트를 재구성합니다. EFS 탑재 도우미는 이 로컬 포트에서 수신 대기 중인 클라이언트 stunnel 프로세스를 시작하고 를 사용하여 EFS 파일 시스템에 암호화된 연결을 stunnel 엽니다TLS. EFS 탑재 도우미는 이 암호화된 연결 및 관련 구성을 설정하고 유지 관리할 책임이 있습니다.

어떤 Amazon EFS 파일 시스템 ID가 어떤 로컬 마운트 포인트에 해당하는지 확인하려면 다음 명령을 사용할 수 있습니다. efs-mount-point를 파일 시스템이 탑재된 로컬 경로로 바꿉니다.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

전송 중 데이터 암호화에 탑재 도우미를 사용하면 amazon-efs-mount-watchdog이라는 프로세스가 생성됩니다. 이 프로세스는 각 마운트의 스튜널 프로세스가 실행되고 있는지 확인하고 Amazon EFS 파일 시스템이 탑재 해제될 때 스튜널을 중지합니다. 어떤 이유로 stunnel 프로세스가 예기치 않게 종료된 경우, 이 감시 프로세스가 stunnel 프로세스를 다시 시작합니다.