數據傳輸加密
網絡傳輸加密
網絡傳輸加密是指業務應用通過HTTPS協議傳輸數據,對HTTP網絡傳輸協議進行安全認證,建議企業對外提供的關鍵業務進行網絡傳輸加密。
通過數字證書管理服務(Certificate Management Service)來提供網絡傳輸加密能力,數字證書管理服務(Certificate Management Service)是由阿里云聯合中國及中國以外地域多家數字證書頒發機構(CA),在阿里云平臺上直接提供的數字證書申請和部署服務,幫助您以較低的成本將服務從HTTP轉換成HTTPS,實現網站或移動應用的身份驗證和數據加密傳輸。
數據動態加密
阿里云提供了數據動態加密功能,利用密鑰管理服務和用戶的應用系統集成,實現數據的動態加密,確保在寫入、讀取數據庫或存儲前,數據是加密的。從而更全面的保護動態傳輸中的數據安全。應用執行動態數據加密需要集成阿里云密鑰管理服務KMS的SDK或API,實現應用數據加密。
數據動態加密的最佳實踐如下:
選擇數據加密密鑰
阿里云密鑰管理服務提供了不同類型的密鑰用于云產品加密和應用加密場景,需要注意的是阿里云密鑰管理服務提供的默認密鑰僅能用于云產品加密,不能用于應用加密。
密鑰類別 | 密鑰規格 | 加密方式 | 用途 | 限制 | 費用 |
默認密鑰 | Aliyun_AES_256 | GCM | 僅用于云產品服務端加密 | 每個阿里云UID僅支持1個默認密鑰 | 免費 |
軟件密鑰 |
| GCM、ECB、CBC RSAES_OAEP_SHA_256 ECIES_DH_SHA_1_XOR_HMAC | 支持云產品服務端加密,支持應用客戶端加密 | 參考KMS實例說明 | 參考KMS產品計費 |
硬件密鑰 |
| GCM、ECB、CBC RSAES_OAEP_SHA_256 ECIES_DH_SHA_1_XOR_HMAC SM2PKE | 支持云產品服務端加密,支持應用客戶端加密 支持金融級數據加密場景 支持國密算法 | 參考KMS實例說明 | 參考KMS產品計費 |
通常情況下建議企業在應用加密場景中,選擇軟件密鑰加密。
查看軟件密鑰類別中,對稱密鑰和非對稱密鑰的密鑰管理類型和密鑰規格。
應用與KMS的集成
應用程序可以選擇通過集成API或使用封裝好的KMS SDK完成應用系統與KMS的對接,并使用加密服務。
參考通過應用接入點訪問KMS實例。
可選擇使用RAM role進行API請求。
可選擇使用client key(客戶端密鑰)對KMS和應用程序之間進行數據簽名和認證。
為數據提供傳輸加密
企業在為應用系統提供數據加密時,希望在數據產生后并在寫入數據庫前完成數據加密。阿里云密鑰管理服務提供不同的加密方式,支持對稱加密和非對稱加密,這兩種方式在使用KMS服務時會略有不同。
選擇使用KMS的對稱加密方式時,則數據加密運算實際是發生在KMS的服務端,選用對稱密鑰用于數據加密的數據密鑰。參考使用KMS主密鑰在線加密和解密數據。具體流程圖如下:
為數據密鑰提供信封加密
選擇使用KMS的非對稱加密方式(信封加密)時,則數據加密運算實際發生在本地(應用環境),應用程序通過非對稱加密方式和KMS之間交互本地加密運算的數據密鑰(對稱密鑰)。參考使用KMS密鑰進行信封加密。具體流程圖如下:
