數據安全是指在數字信息的整個生命周期中保護其數據免遭未經授權的訪問、使用、修改、丟失等風險。云上數據安全是用戶的生命線,也是云上安全整體能力最重要的表現,隨著網絡威脅繼續發展并在全球范圍內擴展,數據保護變得至關重要,阿里云有責任和義務保證用戶的數據安全。本文從數據的完整性、機密性和可用性三方面介紹云服務器ECS如何保證用戶的數據安全。
保證自身數據的完整性
數據完整性是指在傳輸和存儲過程中,防止數據被意外或惡意更改,通過校驗等技術來驗證數據的準確性和一致性。
云服務器ECS在數據的完整性方面,通過云盤三副本技術實現數據99.9999999%的可靠性,數據安全擦除機制實現數據擦除的完整性,并且提供了全鏈路的數據循環冗余校驗CRC(Cyclic Redundancy Check)功能,以確保數據在傳輸和存儲過程中的完整性。
云盤三副本技術
功能介紹:三副本技術是指您對云盤的任何讀寫都會復制成三個副本,并將這些副本按照一定的策略存放在存儲集群中的不同數據節點上,以實現ECS實例99.9999999%的數據可靠性保證,保證讀寫過程中的數據穩定性。更多信息,請參見云盤三副本技術。
配置方式:云盤默認支持。
數據擦除機制
功能介紹:數據擦除機制是指分布式塊存儲系統中已刪除的數據一定會被完全擦除,不會被其他用戶通過任何途徑訪問,也無法通過其他方式恢復,進而確保數據的完整性。
數據擦除機制說明如下:
云盤底層基于順序追加寫實現,該設計充分利用物理盤順序寫高帶寬低時延的特性。基于追加寫的特性,刪除云盤邏輯空間的操作會被作為元數據記錄,一切對該邏輯空間的讀操作,存儲系統會確保返回全零。同理,您對邏輯空間的覆蓋寫不會立即覆蓋物理磁盤上對應空間,存儲系統通過修改邏輯空間與物理空間之間的映射關系來實現云盤的覆蓋寫,確保無法讀取被覆蓋的數據。一切刪除或者覆蓋寫操作形成的物理磁盤上的遺留數據,會從底層物理磁盤上強制永久刪除。
當您釋放塊設備(云盤)時,存儲系統立即銷毀元數據,確保無法繼續訪問數據。同時,該云盤對應的物理存儲空間會被回收。物理空間再次被分配前一定是清零過的,在首次寫入數據前,所有新建的云盤的讀取返回全部是零。
配置方式:云盤默認支持。
CRC校驗
功能介紹:云盤在數據傳輸和數據存儲方面,默認支持全鏈路數據循環冗余校驗(CRC)功能。
在數據寫入和讀取過程中有全鏈路CRC校驗,確保數據傳輸過程中云盤數據完整沒有損壞。
存儲系統定期對持久化介質中的數據進行CRC校驗和冗余一致性校驗掃描,確保介質中的數據完整沒有損壞。
配置方式:云盤默認支持。
在數據的存儲、傳輸、計算環節保證數據機密性
數據機密性是確保數據只可以被合法的個人或系統訪問,防止未授權的訪問和泄露。通常通過加密技術實現,使得即使數據在傳輸過程中被截獲或在存儲時被非法訪問,其內容仍無法解密。
云服務器ECS在存儲、傳輸以及運行態全鏈路環節上均提供了豐富的安全能力和方案,以保證用戶對數據機密性的訴求,以下從數據存儲的機密性、數據網絡傳輸的機密性、數據運行態計算環境的機密性三方面介紹。
數據存儲的機密性
加密云盤
功能介紹:云盤加密是指在創建ECS實例(選擇系統盤和數據盤)或者單獨創建數據盤時為云盤勾選加密選項,創建完成后,ECS實例操作系統內的數據會在云盤所在宿主機(ECS實例服務器)被自動加密,并且在讀取數據時自動解密。用戶對這一系列行為在操作系統內數據是否加密是無感的,無需自建和維護密鑰管理基礎設施,就能保護數據的隱私性和自主性,為業務數據提供安全邊界。
配置方式:云盤加密概述。
重要對于部分高安全合規要求的企業,針對企業賬號下所有RAM子賬號可能要求必須使用加密以保護數據的機密性。ECS支持配置自定義權限策略限制RAM子賬號僅支持創建加密云盤,詳細的策略信息,請參見限制RAM用戶僅支持創建加密云盤。
加密快照
加密快照是對加密云盤(包括系統盤和數據盤)存儲的加密數據的備份。如果云盤屬于加密云盤,其創建的快照將自動繼承云盤的加密屬性,快照數據在靜止存儲或傳輸過程中都處于加密狀態。即使快照被復制到其他地域或用于恢復云盤,其內容仍然是加密的。
加密鏡像
加密鏡像是指通過加密算法保護存儲在鏡像中的數據免受未經授權的訪問和泄露。即使鏡像數據被未經授權的個人訪問,其中的數據也無法被讀取和解密,從而保護存儲于鏡像中數據的安全性。您可以通過帶有加密系統盤的ECS實例或加密快照創建加密的鏡像,也可以通過復制鏡像功能將非加密鏡像復制為加密鏡像,實現鏡像的加密。
數據網絡傳輸的機密性
ECS在數據傳輸機密性上也提供了很多安全能力,以下從使用僅加固模式訪問實例元數據、使用VPN網關安全訪問、使用HTTPS訪問ECS資源三個維度介紹。
使用僅加固模式訪問實例元數據
功能介紹:普通模式訪問Metadata Service查看實例元數據不需要任何身份驗證,如果實例元數據中包含敏感信息,容易在傳輸鏈路中遭到竊聽或者泄露。如果ECS的服務存在SSRF漏洞,攻擊者可以利用Metadata Service的數據獲取STS token,導致類似AK泄露的風險。相比于普通模式,加固模式基于token的鑒權訪問實例數據對SSRF攻擊有更好的防范效果。
配置方式:建議您選擇僅加固模式來訪問Metadata Service獲取元數據信息。更多信息,請參見實例元數據。
使用VPN網關安全訪問
功能介紹:VPN網關(VPN Gateway)可以通過建立加密隧道的方式實現企業本地數據、企業辦公網絡、互聯網客戶端與阿里云專有網絡VPC之間的安全可靠的私網連接。VPN網關提供IPsec-VPN和SSL-VPN兩種網絡連接方式,使用網絡密鑰交換IKE和IP層協議安全結構IPsec協議對傳輸數據進行加密,保證數據的傳輸安全。
IPsec-VPN連接:每個待傳輸的數據包在進入IPsec-VPN連接前都會經過IPsec協議加密,IPsec協議是一組協議的集合,用于進行數據加密、數據認證,確保數據完整性。
SSL-VPN連接:通過在客戶端安裝SSL客戶端證書實現客戶端和VPN網關之間建立SSL-VPN連接,經過SSL-VPN連接傳輸的流量均會被使用SSL協議加密,以實現數據加密、身份認證和確保數據完整性。
更多信息,請參見什么是VPN網關。
配置方式:默認支持。
使用HTTPS訪問ECS資源
功能介紹:HTTPS是在HTTP傳輸的基礎上通過TLS/SSL協議對傳輸中的數據進行加密,可有效防止數據被第三方監聽、截取和篡改。ECS支持使用HTTPS進行加密傳輸,并提供256位密鑰的傳輸加密強度,滿足敏感信息加密的傳輸要求。使用通過會話管理連接實例、使用SSH密鑰對登錄實例或使用云助手遠程訪問實例時,均已使用TLS 1.2加密。
配置方式:默認支持。
重要阿里云提供了
acs:SecureTransport配置方案,開啟配置后,只允許通過HTTPS訪問ECS資源,以保護傳輸數據的機密性,建議您自定義權限策略限制RAM用戶只允許通過HTTPS訪問ECS資源。更多信息,請參見云服務器ECS自定義權限策略參考。
數據運行態計算環境的機密性
通過備份與恢復方案保證數據可用性
功能介紹:數據可用性是指在數據的整個生命周期確保數據保持完全、一致和準確的狀態,主要體現在數據的備份與恢復能力上。云服務器ECS在數據的備份與恢復方面提供了較為豐富的產品安全能力,包括使用快照備份恢復數據、使用鏡像備份恢復數據、數據盤分區數據丟失恢復方案、多可用區部署架構實現數據容災與恢復等,來保證用戶對數據可用性的訴求。
配置方式:ECS災備解決方案。