用户加密,是指使用天翼云产品或其他手段对弹性云主机资源进行加密,从而提升数据的安全性。
云硬盘加密
天翼云云硬盘支持系统盘加密和数据盘加密。
云硬盘加密功能:创建云硬盘时,用户可以选择是否加密此云硬盘,云硬盘创建完成后加密属性无法更改。
云主机系统盘加密:创建云主机时,支持在创建时直接设置系统盘加密。
云主机数据盘加密:创建云主机时,支持在创建时直接设置数据盘加密。
云硬盘加密与快照:加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。
云硬盘加密与备份:加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。
密钥管理
天翼云使用行业标准的AES-256 算法,利用数据密钥加密您的云硬盘数据,加密云硬盘使用的密钥由天翼云自研密钥管理(KMS,Key Management Service)功能提供,用户可轻松创建并管理密钥,满足数据加解密及数字签名验签等需求,安全便捷。
KMS通过使用硬件安全模块HSM(Hardware Security Module)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪,并提供所有密钥的使用记录,满足审计和合规性要求。密钥管理可以轻松满足对小数据和大量数据的加解密。
工作原理
在了解云硬盘加密工作原理之前,首先需要了解两个概念:
- 默认密钥 (Default CMK) :用户第一次通过对应云服务使用KMS加密时,系统自动生成的并托管在用户账号下的服务密钥。
- 用户主密钥 (Customer Master Key,CMK):用户主密钥包括对称密钥及非对称密钥,主要用于加密保护数据密钥并产生信封,也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。
第一次使用加密云硬盘时,系统会自动创建一个用户主密钥(CMK),该密钥有且仅有一个,且是在KMS中的相应地域所创建,并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。
每个地域的加密云硬盘,都需要通过256位数据密钥(DK)进行加密,此数据密钥(DK)具备地域唯一性,即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DK)仅在实例所在的宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。
在创建加密云硬盘并将其挂载到实例后,以下数据都将关联此密钥并进行加密:
- 云硬盘中的静态数据
- 云硬盘和实例间传输的数据(实例操作系统内的数据不加密)
- 通过加密云硬盘创建的快照
对弹性伸缩的影响
如果使用加密的弹性云主机创建弹性伸缩配置,通过伸缩配置创建的云主机,加密方式与原云主机保持一致。