什么是云硬盘加密?
当您的业务因为等保合规或安全要求等原因,需要对存储在云硬盘上的数据进行加密保护时,您可以在创建云硬盘时勾选加密选项,即可对新创建的云硬盘进行加密。
说明当前支持云硬盘加密功能的资源池为:南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2-贵州/杭州7/庆阳2/呼和浩特3/长沙42。
密钥管理
天翼云使用行业标准的AES-256 算法,利用数据密钥加密您的云硬盘数据,加密云硬盘使用的密钥由天翼云自研密钥管理(KMS,Key Management Service)功能提供,用户可轻松创建并管理密钥,满足数据加解密及数字签名验签等需求,安全便捷。
KMS通过使用硬件安全模块HSM(Hardware Security Module)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。
工作原理
服务端加密支持选择默认密钥及用户自行创建的用户主密钥,具体可选择的密钥类型如下。
密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES_256(默认) 按需版&包周期版 用户自行创建 用户主密钥-软件 AES_256 按需版 用户主密钥-硬件 AES_256
SM4
按需版
在了解云硬盘加密工作原理之前,首先需要了解两个概念:
- 默认密钥
- 系统为云产品自动创建的用于服务端加密的默认密钥,默认密钥与云产品对应,每个天翼云账号下的每个云产品,在每个资源支持创建1个默认密钥。
- 默认密钥的别名定义为alias_<云产品代码>,例如alias_ecs。
- 默认密钥的密钥材料由KMS生成,不支持导入外部密钥材料,同时不支持自动轮转、启用/禁用、删除等操作。
- 用户主密钥
- 用户主密钥云产品加密时,可选用户在KMS服务中自建的用户主密钥,密钥类型为对称密钥,算法支持AES_256、SM4,保护级别可选软件保护、硬件保护。
- 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费,请您确保账户余额充足、到期前及时续费,避免KMS服务冻结,冻结后云产品无法进行正常的加解密操作,云产品可能会出现异常。
- 用户主密钥支持计划删除,操作计划删除前请确保该密钥非云产品加密使用的密钥,避免误删除导致云产品无法正常加解密而出现异常。为避免误删,您可以为密钥开启删除保护功能。
注意当前云硬盘加密仅支持选择按需版本中的自建用户主密钥,当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。
若您为2024年9月10日之后购买了KMS包周期服务,您可选择使用默认密钥进行云产品加密。
第一次使用加密云硬盘时,系统会自动创建一个用户主密钥(CMK),该密钥有且仅有一个,且是在KMS中的相应地域所创建,并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。
每个地域的加密云硬盘,都需要通过256位数据密钥(DEK)进行加密,此数据密钥(DEK)具备地域唯一性,即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护,能有效防止未经授权的访问。云硬盘的数据密钥(DEK)仅在实例所在的宿主机的内存中使用,不会以明文形式存储在任何持久化介质(即使是云硬盘本身)上。
在创建加密云硬盘并将其挂载到实例后,以下数据都将关联此密钥并进行加密:
- 云硬盘中的静态数据
- 云硬盘和实例间传输的数据(实例操作系统内的数据不加密)
- 通过加密云硬盘创建的快照
云硬盘加密功能与快照、备份、镜像之间的关系:
云硬盘加密功能与云主机系统盘、云主机数据盘、快照、备份、镜像的关系介绍如下:
云硬盘加密功能
- 创建云硬盘时,用户可以选择是否加密此云硬盘,云硬盘创建完成后加密属性无法更改。
云主机系统盘加密
- 创建云主机时,支持在创建时直接设置系统盘加密。
云主机数据盘加密
- 创建云主机时,支持在创建时直接设置数据盘加密。
云硬盘加密与快照
- 加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。
云硬盘加密与备份
- 加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。
