AWS ofrece la capacidad de cifrar volúmenes EBS, cuyo valor me pregunto. En el documento técnico "Visión general de los procesos de seguridad (octubre de 2016)", página 24, dicen:
El cifrado de datos confidenciales es generalmente una buena práctica de seguridad, y AWS proporciona la capacidad de cifrar volúmenes EBS y sus Instantáneas con AES-256. El cifrado se produce en los servidores que alojan. las instancias de EC2, que proporcionan el cifrado de datos a medida que se mueve entre Instancias de EC2 y almacenamiento de EBS.
Entonces, ¿cuál es el modelo de amenaza allí? ¿De quién se supone que la característica debe proteger los datos? ¿Los tipos malos que pueden obtener acceso físico a los racks del servidor EBS e intentar escanear / analizar / extraer los datos que necesitan de las miles de discos físicos?
O, tal vez, de los administradores de AWS que tienen acceso a las máquinas anfitrionas, ¿tienen control sobre la RAM y el hipervisor donde ocurre el cifrado y potencialmente pueden acceder a los datos sin cifrar de todos modos?