Inserito il: Jul 23, 2019
Amazon ha aggiornato la configurazione di default dell’assistente per il montaggio di Amazon Elastic File System (Amazon EFS) durante l’utilizzo della crittografia dei dati in transito. A partire da oggi, l'utilizzo del protocollo OCSP (Online Certificate Status Protocol) non si abilita per impostazione predefinita.
L'assistente per il montaggio di Amazon EFS offre la possibilità di crittografare i dati in transito per i file system EFS utilizzando la versione 1.2 del protocollo Transport Layer Security (TLS v1.2). EFS utilizza il servizio Amazon Certificate Authority (CA) per rilasciare e firmare i propri certificati TLS, nonché per verificare la revoca dei certificati tramite OCSP. Per verificare la revoca del certificato, l'endpoint OCSP deve essere accessibile su Internet dal cloud privato virtuale (VPC). Per massimizzare la disponibilità del file system nel caso in cui la CA non sia raggiungibile dal VPC, l’assistente per il montaggio di EFS non abilita più il protocollo OCSP per impostazione predefinita.. Nell’ambito del servizio, EFS monitora continuamente lo stato di revoca dei certificati ed emette nuovi certificati ogni volta che se ne rileva uno revocato.
Puoi comunque scegliere di abilitare OCSP affinché i clienti possano controllare i certificati revocati, garantendo la massima sicurezza possibile. OCSP protegge dall'uso dannoso dei certificati revocati, il che è improbabile che si verifichi nel VPC. Nel caso in cui un certificato TLS di EFS venga revocato, Amazon pubblica un bollettino sulla sicurezza e rende disponibile una nuova versione dell'assistente per il montaggio di EFS che rifiuta esplicitamente il certificato revocato. Ciò richiede l'aggiornamento manuale dell'assistente per il montaggio di EFS.
L’aggiornamento per l’assistente per il montaggio di EFS è disponibile nell’ambito delle AMI Amazon Linux e Amazon Linux 2 nonché in GitHub. Per iniziare a usare l’assistente per il montaggio di Amazon EFS e la crittografia EFS dei dati in transito, consulta la documentazione.