當ECS工作負載用于處理生產(chǎn)數(shù)據(jù)時,通常會接觸到您的業(yè)務機密、隱私信息或者關鍵憑證,因此需要對工作負載進行保護以防范信息泄露。KMS支持對ECS工作負載進行一鍵加密,保護計算環(huán)境中產(chǎn)生的臨時和持久數(shù)據(jù),滿足您對數(shù)據(jù)安全、隱私以及合規(guī)的要求,讓您可以高效、低成本地構建安全的云上計算環(huán)境。

背景信息

客戶的數(shù)據(jù)安全需求為保護業(yè)務機密和個人隱私。這類數(shù)據(jù)是企業(yè)的核心價值所在,通常受到監(jiān)管合規(guī)的約束。例如:GDPR會要求企業(yè)保護個人的隱私數(shù)據(jù)。這類數(shù)據(jù)通常存儲在數(shù)據(jù)庫,應用系統(tǒng)應當在存儲之前將其加密,降低數(shù)據(jù)庫面臨撞庫拖庫等攻擊之后泄露的風險。

為了保證加密的安全性與合規(guī)性,應用系統(tǒng)可以使用KMS或者加密服務完成業(yè)務數(shù)據(jù)的加密。應用層加密業(yè)務數(shù)據(jù)詳情,請參見使用KMS信封加密在本地加密和解密數(shù)據(jù)

如果您已經(jīng)采取了上述保護手段,那么處理加解密的工作負載就替代了數(shù)據(jù)庫,成為了您的系統(tǒng)中新的薄弱環(huán)節(jié)。工作負載攜帶的風險如下:

  • 您的ECS應用中,有訪問KMS或者密碼機,以及訪問其他微服務、子系統(tǒng)的關鍵憑證。
  • 您的ECS系統(tǒng)盤,可能產(chǎn)生一些臨時文件,包含網(wǎng)絡傳輸和本地處理過程中接觸到的敏感數(shù)據(jù)。
  • 您的ECS云盤,開啟了基于自動快照的云盤備份,對敏感數(shù)據(jù)進行大量冗余存儲。
說明 實際的業(yè)務系統(tǒng)部署會面臨更多的問題。例如:在研發(fā)(DevOps)自治的應用部署和生命周期變更機制下,運維與安全負責人并不知道工作負載是否產(chǎn)生了新的敏感數(shù)據(jù)類型,是否引入新的業(yè)務邏輯處理敏感數(shù)據(jù)。

產(chǎn)品價值

阿里云ECS基于KMS加密,提供保護工作負載所屬資源的能力,例如:ECS系統(tǒng)盤、數(shù)據(jù)盤,以及和它們相關的鏡像、快照。

您可以授權ECS使用KMS中的用戶主密鑰(CMK),一鍵加密這些資源,保護已知、未知、臨時和持久性的敏感數(shù)據(jù),防范它們被惡意者獲取。您也可以根據(jù)需求,通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。

說明 對運維與安全負責人而言,加密ECS工作負載的資源是研發(fā)(DevOps)模式下,簡單而有效的安全兜底方案。

加密系統(tǒng)盤

由于系統(tǒng)盤包含操作系統(tǒng)以及業(yè)務所需要的應用軟件,因此它通常被打包為一個鏡像。

當您制作完成這個具備在生產(chǎn)環(huán)境運行的自定義鏡像并作為基線之后,即可通過復制鏡像的方式,產(chǎn)生一個加密鏡像,為系統(tǒng)盤進行加密。

  1. 登錄ECS管理控制臺
  2. 在左側(cè)導航欄,選擇實例與鏡像 > 鏡像
  3. 在頂部菜單欄左上角處,選擇地域。
  4. 鏡像頁面,單擊自定義鏡像頁簽。
  5. 選擇需要復制的鏡像,在操作列中,單擊復制鏡像
  6. 復制鏡像對話框,勾選加密,在下拉列表中選擇一個密鑰。

    您可以使用托管的服務密鑰(Default Service CMK)或者在KMS中創(chuàng)建的用戶主密鑰對云盤進行加密。使用KMS中創(chuàng)建的用戶主密鑰,您將對加密的云盤具有更多的控制權。例如:您可以通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。

    說明 首次選擇更多類型密鑰時,單擊同意授權,根據(jù)頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。本步驟僅描述復制鏡像時如何配置加密選項,其余配置詳情,請參見復制鏡像
    復制鏡像-控制臺對話框
  7. 單擊確定

加密數(shù)據(jù)盤

您可以在創(chuàng)建實例或者創(chuàng)建云盤時加密數(shù)據(jù)盤。

創(chuàng)建實例時加密數(shù)據(jù)盤

  1. 登錄ECS管理控制臺
  2. 在左側(cè)導航欄,選擇實例與鏡像 > 實例
  3. 實例頁面,單擊創(chuàng)建實例
  4. 存儲區(qū)域,增加數(shù)據(jù)盤并設置加密方式。
    說明 本步驟僅描述創(chuàng)建實例時如何配置加密選項,其余配置詳情,請參見使用向?qū)?chuàng)建實例
    1. 單擊增加一塊數(shù)據(jù)盤
    2. 選擇數(shù)據(jù)盤的云盤類型以及容量等配置。
    3. 勾選加密,在下拉列表中選擇一個密鑰。

      您可以使用托管的服務密鑰(Default Service CMK)或者在KMS中創(chuàng)建的用戶主密鑰對云盤進行加密。使用KMS中創(chuàng)建的用戶主密鑰,您將對加密的云盤具有更多的控制權。例如:您可以通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。

      說明 首次選擇更多類型密鑰時,單擊同意授權,根據(jù)頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。
      加密ECS實例

創(chuàng)建云盤時加密數(shù)據(jù)盤

  1. 登錄ECS管理控制臺
  2. 在左側(cè)導航欄,選擇存儲與快照 > 云盤
  3. 云盤頁面,單擊創(chuàng)建云盤
  4. 配置云盤類型和容量等具體信息。
    說明 本步驟僅描述創(chuàng)建云盤時如何配置加密選項,具體配置詳情,請參見創(chuàng)建云盤
  5. 存儲區(qū)域,勾選加密,在下拉列表中選擇一個密鑰。

    您可以使用托管的服務密鑰(Default Service CMK)或者在KMS中創(chuàng)建的用戶主密鑰對云盤進行加密。使用KMS中創(chuàng)建的用戶主密鑰,您將對加密的云盤具有更多的控制權。例如:您可以通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。

    說明 首次選擇更多類型密鑰時,單擊同意授權,根據(jù)頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。
    ECS云盤加密