发现在创建云服务器ecs实例的磁盘快照时_阿里云的存储数据加密

数据已成为当今许多企业的新货币,因为它可以为组织市场提供有价值的见解,从而在竞争中占据上风。但是,仅靠Anti-DDoS和防火墙(WAF)等访问控制方法是不够的; 企业也需要通过加密来保护他们的数据。加密是必要的,因为它允许您安全地保护数据并将数据访问权限仅限于具有正确安全密钥的数据。

发现在创建云服务器ecs实例的磁盘快照时_阿里云的存储数据加密_第1张图片

OSS加密

OSS支持客户端加密和服务器端加密。

OSS客户端加密

客户端加密意味着在将用户数据发送到远程服务器之前完成加密; 而用于加密的密钥的明文仅保留在本地计算机中。因此,可以确保用户数据的安全性,因为即使数据泄漏,其他人也不能解密数据以获得原始数据。

  • 使用KMS托管的主私钥。
  • 由用户管理的私钥。

OSS服务器端加密

OSS支持用户上传的数据的服务器端加密:当用户上传数据时,OSS加密用户数据并通过加密永久存储数据; 当用户下载数据时,OSS自动解密加密数据,将原始数据返回给用户,并在返回的HTTP请求的标题中声明数据已在服务器上加密。

RDS加密

RDS支持SSL和TDE加密。

SSL加密

RDS为MySQL和SQL Server提供安全套接字层(SSL)。您可以使用RDS提供的服务器根证书来验证RDS是否提供了具有目标IP地址和端口的数据库服务,这可以有效地防止中间人攻击。为了保证安全性和有效性,RDS允许您为服务器启用和更新SSL证书。

虽然RDS可以加密应用程序和数据库之间的连接,但只有在应用程序在服务器上启用身份验证后,SSL服务才能正常运行。此外,SSL会导致额外的CPU资源消耗,并在一定程度上影响RDS实例的吞吐量和响应时间。具体影响取决于用户连接次数和数据传输频率。

TDE加密

RDS为MySQL和SQL Server提供透明数据加密(TDE)。RDS for MySQL的TDE功能由阿里云开发,RDS for SQL Server的TDE功能基于SQL Server企业版。

您可以在启用TDE的RDS实例中指定要加密的数据库或表。指定数据库或表的数据在写入任何设备(如HDD,SSD或PCIe卡)或任何服务(如OSS或存档存储)之前都会进行加密。因此,实例的数据文件和备份都是密文。

TDE采用高级加密标准(AES)算法。密钥长度为128位。TDE的密钥由KMS加密和存储。实例启动或迁移时,RDS会动态读取密钥一次。您可以根据需要在KMS控制台上替换密钥。

有关TDE加密服务的详细信息,请参阅设置透明日期加密。

ECS磁盘加密

如果要根据业务需求或认证要求加密存储在磁盘上的数据,可以使用ECS磁盘加密功能加密云磁盘和共享块存储(除非另有说明,否则统称为云磁盘)。此安全加密功能允许您加密新的云磁盘。您无需创建,维护或保护自己的密钥管理基础架构,也无需更改任何现有应用程序或维护流程。此外,不需要额外的解密操作,因此磁盘加密功能的操作对于您的应用程序和操作几乎是不可见的。

创建加密的云盘并将其连接到ECS实例后,可以加密以下列表中的数据:

  • 云盘上的数据。
  • 在云盘和实例之间传输的数据。但是,实例操作系统中的数据未加密。
  • 从加密的云盘创建的所有快照。这些快照称为加密快照。
  • 在运行ECS实例的主机上执行加密和解密,因此从ECS实例传输到云盘的数据是加密的。

ECS磁盘加密功能为您处理密钥管理。每个新的云盘都使用唯一的256位密钥(从CMK派生)加密。此密钥还与从此云盘创建的所有快照以及随后从这些快照创建的任何云磁盘相关联。这些密钥受阿里云的密钥管理基础设施(由KMS提供)保护。您的数据和相关密钥使用行业标准的AES-256算法进行加密。

阿里云的整体密钥管理基础设施符合(NIST)800-57中的建议,并使用符合(FIPS)140-2标准的加密算法。

每个阿里云ECS账户在每个区域都有一个独特的CMK。此密钥与数据分开,并存储在受严格的物理和逻辑安全控制保护的系统中。每个加密磁盘都使用特定磁盘及其快照特有的加密密钥。加密密钥由CMK为当前区域中的当前用户创建并加密。磁盘加密密钥仅用于运行ECS实例的主机的内存中。密钥永远不会以明文形式存储在任何永久存储介质(例如磁盘)中。

你可能感兴趣的:(发现在创建云服务器ecs实例的磁盘快照时_阿里云的存储数据加密)