AWS Windows实例上的Bitlocker驱动器encryption

我试图找出如何最好地保护AWS上的单个Windows Server 2012实例的数据,并根据“ AWS_Securing_Data_at_Rest_with_Encryption.pdf ”它说:

“使用BitLocker或encryption文件系统(EFS)以及像TrueCrypt这样的开源应用程序,可以encryption连接到Windows实例的Amazon EBS卷。在任何一种情况下,您仍然需要为这些encryption方法提供密钥,并且只能对数据进行encryption卷“。

“趋势科技SecureCloud和SafeNet ProtectV都是两种此类合作伙伴产品,它们可以encryptionAmazon EBS卷并包含KMI。除了数据卷,这两种产品都能够encryption引导卷。

所以没有上面提到的SaaSencryption产品,有没有免费的方法来保护启动卷?

这是一个老问题,但另一种保护静止数据的方法是在EC2实例上创build第二个卷,并使用BitLocker对该卷进行encryption。

一般来说,BitLocker将是我个人使用驱动器encryption的最佳解决scheme。 BitLocker的问题是它需要一个TPM,我不知道AWS的硬件是否提供TPM。 如果没有,我会说TrueCrypt是次佳的select,但是每次启动机器时都要求input解密密码。

AWS现在为EBS数据卷提供卷级encryption 。 只需在创build卷时选中该checkbox。

仅供参考:使用CrystalDiskMark比较EBS(无encryption),EBS(使用BitLocker)和EBS(使用AWSencryption),ST1,GP2和IO1卷(具有不同的IOPS级别),我运行了一些相当密集的性能测量。

我的结论是,BitLocker使用大约.1每CPU读取的CPU核心%和每MB /秒大约.4 cpu-core%写入。 BitLocker也有15%的写入吞吐量损失(即峰值MB /秒比BitLockerless15%)。

EBSencryption使用的CPU大约是BitLocker的1/10,并且看起来大约占写入吞吐量的一半,所以除非使用BitLocker的性能和成本超出其他原因,否则EBSencryption是一条可行的路线。

我的testing是在i3.4xL上完成的(cpu-core%可能在i2,i4和其他types的实例上有所不同)。