文件存儲NAS提供服務器端加密和客戶端加密,可有效防止數據在云端的潛在安全風險。同時支持數據備份與回收站功能,避免數據丟失。
數據加密
提供服務器端加密和客戶端加密,可有效防止數據在云端的潛在安全風險.
數據傳輸加密
文件存儲NAS支持TLS傳輸鏈路加密,開啟TLS功能后,NAS客戶端和服務端之間的通信會進行TLS數據傳輸加密。
開啟TLS功能的介紹,請參見NFS文件系統傳輸加密或SMB文件系統傳輸加密。
服務器端加密
文件存儲支持如下兩種加密類型機制:
NAS托管密鑰加密
使用NAS完全托管的密鑰加密每個文件系統。該密鑰由NAS在KMS(Key Management Service)服務中進行創建和管理,您可以查看密鑰并審計密鑰的使用權限,但無法刪除、禁用該密鑰。
用戶管理密鑰加密
使用您托管給KMS服務的用戶管理密鑰對文件系統進行加解密操作。當該密鑰被禁用或者刪除后,使用該密鑰進行加密的NAS文件系統將不可訪問。用戶管理密鑰有以下兩種來源:
在KMS服務中創建的密鑰:您可以在KMS服務中創建用戶主密鑰CMK(Customer Master Key),并對CMK進行配置和管理,包括啟用、禁用、刪除、密鑰輪轉等操作。
自帶密鑰BYOK(Bring Your Own Key):為了滿足一些特定的安全需求,您可以將本地或其他途徑生成的自帶密鑰BYOK導入KMS,作為用戶主密鑰CMK。具體操作,請參見導入密鑰材料。
具體操作,請參見通過控制臺創建通用型NAS文件系統和通過控制臺創建極速型NAS文件系統。
數據備份
通過云備份 CloudBackup 保障數據安全。數據備份可用于容災備份、誤刪或惡意篡改恢復、數據版本控制、法律合規要求、數據遷移等場景。更多信息,請參見備份和恢復文件。
云備份(Cloud Backup)作為阿里云統一災備平臺,是一種簡單易用、敏捷高效、安全可靠的公共云數據管理服務,可以為阿里云ECS整機、ECS數據庫、文件系統、NAS、OSS、Tablestore以及自建機房內的文件、數據庫、虛擬機、大規模NAS等提供備份、容災保護以及策略化歸檔管理。更多信息,請參見什么是云備份。
為了防止由于誤刪除、數據篡改等導致重要數據不可用,您可以使用文件存儲NAS回收站功能或快照功能備份文件系統中的文件或目錄,并在數據丟失或受損時及時恢復。更多信息,請參見回收站和快照。
回收站
低成本數據誤刪保護,避免軟件錯誤、人為誤操作等邏輯錯誤造成的數據丟失。更多信息,請參見回收站。
數據擦除機制
確保用戶刪除的數據不會被其他用戶通過任何途徑訪問。主要通過以下機制保證數據擦除的完整性:
不同用戶的文件存儲NAS實例的數據是完全隔離管理的,每個實例數據管理通過各自的元數據進行管理,讀取數據根據元數據進行索引和校驗,不會發生跨實例訪問。
一個文件存儲NAS實例的文件被刪除,元數據索引會立即更新,保證其對應的物理空間將不會再被索引到,因此數據沒法再被讀取到。這些物理存儲空間被再次分配時,首先會被清零,然后才會被添加到元數據索引中,保證其第一次讀取返回全零。
當您釋放文件存儲NAS實例時,存儲系統將立即銷毀元數據,確保無法繼續訪問數據。同時,該文件存儲NAS實例對應的物理存儲空間會被回收。物理空間再次被分配時,對應的存儲空間會被再次清零,之后再被新寫入數據覆蓋,在沒有寫入過的地址讀取數據,將會返回全零。