Wirkt sich die AWS RDS-Verschlüsselung mit KMS auf die Leistung aus?

Question

Amazon states dass

Verschlüsselung und Entschlüsselung transparent behandelt werden, so dass Sie Ihre Anwendung nicht ändern müssen, um auf Ihre Daten zuzugreifen

Meine Anwendung (Rails, MySQL, Elasticsearch) baut eine Menge Grafiken und fragt daher viele Daten ab. Aufgrund meiner früheren Erfahrung mit der Datenbankverschlüsselung wirkt sich dies wirklich auf die Geschwindigkeit beim Datenabruf aus (da wir nur sagen können, ob der Datensatz nach dem Lesen und Entschlüsseln der Bedingung übereinstimmt).

Gibt es relevante Benchmarks? Oder haben Sie mit einer solchen serverseitigen Verschlüsselung von AWS gearbeitet? Muss ich mich überhaupt über Leistungsänderungen Gedanken machen?

Auch ist es nicht ganz klar für mich ist es möglich, Elasticsearch-Daten auch auf "transparente" Weise zu verschlüsseln. Ich würde auch Ihren Rat an diesem verwenden

Answer 1

Aus meiner Erfahrung mit Datenbank-Verschlüsselung, es wirkt sich wirklich Datengeschwindigkeit Abrufen (wie wir nur sagen können, wenn Rekord Zustand übereinstimmt nach dem Lesen und decryptng es).

Das wäre der Fall, wenn jeder Wert jedes Datensatzes verschlüsselt wurde, bevor er in die Datenbank eingefügt wurde. So funktioniert die RDS-Verschlüsselung nicht. Die RDS-Verschlüsselung ermöglicht die Verschlüsselung der EBS-Datenträger, auf denen die Datenbank gespeichert ist. Für die RDS-Datenbank-Engine scheinen die Daten nicht verschlüsselt zu sein. Dies entspricht der Aktivierung der Verschlüsselung für ein EBS-Volume, das an Ihren EC2-Server angeschlossen ist.

In Bezug auf die Leistung habe ich keine Leistungseinbußen beim Aktivieren der Verschlüsselung von RDS und EBS bemerkt. Per AWS Dokumentation here:

können Sie die gleiche IOPS-Leistung auf verschlüsselten Volumes, wie Sie würde mit unverschlüsselten Mengen mit minimalen Auswirkungen auf die Latenz erwarten.

---

Hinweis, dass dies "Verschlüsselung in Ruhe". Wenn Sie die Daten auch "verschlüsselt unterwegs" benötigen, müssen Sie prüfen, ob Sie SSL-Verbindungen für alle Ihre Datenbankverbindungen verwenden und möglicherweise eine Einstellung in Ihrer Datenbank aktivieren, um SSL-Verbindungen zu erzwingen.

---

In Bezug auf Ihre zweite Frage, AWS nicht erscheint Verschlüsselung-at-Rest für die Elasticsearch Dienst in dieser Zeit zu unterstützen. Für die Verschlüsselung-in-Transit können Sie HTTPS-Verbindungen verwenden, gemäß der AWS Support Antwort auf this question:

Sie können https verwenden für die verschlüsselte Kommunikation mit Ihrer Domäne.

Die Kommunikation zwischen den Knoten ist nicht verschlüsselt. Die Knoten selbst sind gehostet in unserer VPC, und die gesamte Kommunikation zwischen den Knoten bleibt in ihm.