當ECS工作負載用于處理生產數據時,通常會接觸到您的業務機密、隱私信息或者關鍵憑證,因此需要對工作負載進行保護以防范信息泄露。KMS支持對ECS工作負載進行一鍵加密,保護計算環境中產生的臨時和持久數據,滿足您對數據安全、隱私以及合規的要求,讓您可以高效、低成本地構建安全的云上計算環境。
背景信息
客戶的數據安全需求為保護業務機密和個人隱私。這類數據是企業的核心價值所在,通常受到監管合規的約束。例如:GDPR會要求企業保護個人的隱私數據。這類數據通常存儲在數據庫,應用系統應當在存儲之前將其加密,降低數據庫面臨撞庫拖庫等攻擊之后泄露的風險。
為了保證加密的安全性與合規性,應用系統可以使用KMS或者加密服務完成業務數據的加密。應用層加密業務數據詳情,請參見使用KMS信封加密在本地加密和解密數據。
如果您已經采取了上述保護手段,那么處理加解密的工作負載就替代了數據庫,成為了您的系統中新的薄弱環節。工作負載攜帶的風險如下:
- 您的ECS應用中,有訪問KMS或者密碼機,以及訪問其他微服務、子系統的關鍵憑證。
- 您的ECS系統盤,可能產生一些臨時文件,包含網絡傳輸和本地處理過程中接觸到的敏感數據。
- 您的ECS云盤,開啟了基于自動快照的云盤備份,對敏感數據進行大量冗余存儲。
產品價值
阿里云ECS基于KMS加密,提供保護工作負載所屬資源的能力,例如:ECS系統盤、數據盤,以及和它們相關的鏡像、快照。
您可以授權ECS使用KMS中的用戶主密鑰(CMK),一鍵加密這些資源,保護已知、未知、臨時和持久性的敏感數據,防范它們被惡意者獲取。您也可以根據需求,通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。
加密系統盤
由于系統盤包含操作系統以及業務所需要的應用軟件,因此它通常被打包為一個鏡像。
當您制作完成這個具備在生產環境運行的自定義鏡像并作為基線之后,即可通過復制鏡像的方式,產生一個加密鏡像,為系統盤進行加密。
- 登錄ECS管理控制臺。
- 在左側導航欄,選擇。
- 在頂部菜單欄左上角處,選擇地域。
- 在鏡像頁面,單擊自定義鏡像頁簽。
- 選擇需要復制的鏡像,在操作列中,單擊復制鏡像。
- 在復制鏡像對話框,勾選加密,在下拉列表中選擇一個密鑰。
您可以使用托管的服務密鑰(Default Service CMK)或者在KMS中創建的用戶主密鑰對云盤進行加密。使用KMS中創建的用戶主密鑰,您將對加密的云盤具有更多的控制權。例如:您可以通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。
說明 首次選擇更多類型密鑰時,單擊同意授權,根據頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。本步驟僅描述復制鏡像時如何配置加密選項,其余配置詳情,請參見復制鏡像。
- 單擊確定。
加密數據盤
您可以在創建實例或者創建云盤時加密數據盤。
創建實例時加密數據盤
- 登錄ECS管理控制臺。
- 在左側導航欄,選擇。
- 在實例頁面,單擊創建實例。
- 在存儲區域,增加數據盤并設置加密方式。說明 本步驟僅描述創建實例時如何配置加密選項,其余配置詳情,請參見使用向導創建實例。
- 勾選加密,在下拉列表中選擇一個密鑰。
您可以使用托管的服務密鑰(Default Service CMK)或者在KMS中創建的用戶主密鑰對云盤進行加密。使用KMS中創建的用戶主密鑰,您將對加密的云盤具有更多的控制權。例如:您可以通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。
說明 首次選擇更多類型密鑰時,單擊同意授權,根據頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。
- 勾選加密,在下拉列表中選擇一個密鑰。
創建云盤時加密數據盤
- 登錄ECS管理控制臺。
- 在左側導航欄,選擇。
- 在云盤頁面,單擊創建云盤。
- 配置云盤類型和容量等具體信息。說明 本步驟僅描述創建云盤時如何配置加密選項,具體配置詳情,請參見創建云盤。
- 在存儲區域,勾選加密,在下拉列表中選擇一個密鑰。
您可以使用托管的服務密鑰(Default Service CMK)或者在KMS中創建的用戶主密鑰對云盤進行加密。使用KMS中創建的用戶主密鑰,您將對加密的云盤具有更多的控制權。例如:您可以通過撤銷授權、禁用密鑰等手段,撤銷ECS使用KMS解密的能力,獲得應急響應的能力。
說明 首次選擇更多類型密鑰時,單擊同意授權,根據頁面引導為ECS授權AliyunECSDiskEncryptDefaultRole角色,允許ECS訪問您的KMS資源。