投稿日: Jul 23, 2019
Amazon Elastic File System (Amazon EFS) マウントヘルパーパッケージで転送中データの暗号化を使用する場合のデフォルト設定が更新されました。本日より、オンライン証明書ステータスプロトコル (OCSP) の使用はデフォルトで有効化されません。
Amazon EFS マウントヘルパーには、EFS ファイルシステムで、Transport Layer Security バージョン 1.2 (TLS v1.2) を使用して転送中のデータを暗号化するオプションが用意されています。EFS では、TLS 証明書の発行と署名、および OCSP を使用した証明書失効チェックに Amazon 認証機関 (CA) が使用されます。証明書の失効をチェックするには、Virtual Private Cloud (VPC) からインターネット経由で OCSP エンドポイントにアクセスできることが必要です。VPC から CA にアクセスできない場合でもファイルシステムの可用性を最大限に高めるため、EFS マウントヘルパーのデフォルトでは OCSP が有効化されないことになりました。EFS では、証明書失効ステータスが継続的にモニタリングされ、失効した証明書が検出されると新しい証明書が発行されます。
セキュリティを最大限に強化するために OCSP を有効化し、失効した証明書のチェックをクライアントに実行させることも引き続き可能です。OCSP は失効した証明書の悪用を防止しますが、それが VPC 内部で発生する可能性はほとんどありません。EFS TLS 証明書が失効すると、Amazon はセキュリティ速報を発行し、失効した証明書を明示的に拒否する新しいバージョンの EFS マウントヘルパーを利用できるようにします。 このとき、EFS マウントヘルパーの手動更新が必要になります。
更新された EFS マウントヘルパーは Amazon Linux および Amazon Linux 2 の AMI 内で利用できます。GitHub でも入手できます。Amazon EFS マウントヘルパーと転送中データの EFS 暗号化の使用を開始するには、ドキュメントを参照してください。