게시된 날짜: Jul 23, 2019
전송 데이터 암호화를 사용할 때 Amazon Elastic File System(EFS) 마운트 헬퍼 패키지의 기본 구성을 업데이트했습니다. 오늘부터는 OCSP(Online Certificate Status Protocol) 사용이 기본 설정으로 활성화되지 않습니다.
Amazon EFS 마운트 헬퍼는 TLS v1.2(전송 계층 보안 버전 1.2)를 사용하여 EFS 파일 시스템의 전송 데이터를 암호화하는 옵션을 제공합니다. EFS는 Amazon 인증 기관(CA)을 사용하여 TLS 인증서를 발급 및 서명하고 OCSP를 사용하여 인증서 해지 여부를 확인합니다. 인증서 해지 여부를 확인하려면 Virtual Private Cloud(VPC)에서 인터넷을 통해 OCSP 엔드포인트에 액세스할 수 있어야 합니다. VPC에서 CA에 접근할 수 없는 경우에 파일 시스템 가용성을 극대화하기 위해 EFS 마운트 헬퍼는 더는 OCSP를 기본 설정으로 활성화하지 않습니다. 이 서비스 내에서 EFS는 인증서 해지 상태를 지속적으로 모니터링하고 해지된 인증서가 감지되면 새 인증서를 발급합니다.
여전히 OCSP를 활성화하여 클라이언트가 해지된 인증서를 확인하도록 선택할 수 있으므로 가장 강력한 보안을 제공할 수 있습니다. VPC 내에서 이러한 일이 발생할 가능성은 없지만, OCSP는 해지된 인증서가 악의적으로 사용되지 않도록 보호합니다. EFS TLS 인증서가 해지된 경우, Amazon은 보안 게시판을 게시하고 해지된 인증서를 명시적으로 거부하는 새 버전의 EFS 마운트 헬퍼를 사용할 수 있도록 합니다. 이렇게 하려면 EFS 마운트 헬퍼를 수동으로 업데이트해야 합니다.
업데이트된 EFS 마운트 헬퍼는 Amazon Linux 및 Amazon Linux 2 AMI에서 사용할 수 있으며, GitHub에서도 찾을 수 있습니다. Amazon EFS 마운트 헬퍼 및 EFS의 전송 데이터 암호화를 시작하려면 설명서를 참조하십시오.