Publicado: Jul 23, 2019
Atualizamos a configuração padrão do pacote auxiliar de montagem do Amazon Elastic File System (Amazon EFS) para a criptografia de dados em trânsito. A partir de hoje, o uso do Online Certificate Status Protocol (OCSP) não está habilitado por padrão.
O auxiliar de montagem do Amazon EFS oferece a opção de criptografar dados em trânsito para sistemas de arquivos do EFS usando o Transport Layer Security versão 1.2 (TLS v1.2). O EFS usa uma autoridade de certificação (AC) da Amazon para emitir e assinar certificados TLS, bem como verificar a revogação de certificados usando OCSP. O endpoint de OCSP deve permitir acesso da sua Virtual Private Cloud (VPC) pela Internet para verificar a revogação de certificados. Para maximizar a disponibilidade do sistema de arquivos quando a VPC não consegue acessar a AC, o auxiliar de montagem do EFS não habilita mais o OCSP por padrão. No serviço, o EFS monitora continuamente o status de revogação de certificados e emite novos certificados quando detecta um certificado revogado.
Você pode optar por habilitar o OCSP para que os clientes verifiquem certificados revogados e obter a segurança mais robusta possível. O OCSP protege contra o uso mal-intencionado de certificados revogados, o que é improvável que ocorra na VPC. Quando um certificado TLS do EFS é revogado, a Amazon publica um boletim de segurança e disponibiliza uma nova versão do auxiliar de montagem do EFS que rejeita explicitamente o certificado revogado. Você terá de atualizar manualmente o auxiliar de montagem do EFS.
O auxiliar de montagem atualizado do EFS está disponível nas AMIs do Amazon Linux e do Amazon Linux 2, e também pode ser encontrado no GitHub. Para começar a usar o auxiliar de montagem do Amazon EFS e a criptografia de dados em trânsito pelo EFS, consulte a documentação.