對象存儲OSS提供服務器端加密和客戶端加密,并支持基于SSL/TLS的HTTPS加密傳輸,有效防止數據在云端的潛在安全風險。
服務器端加密
OSS支持在服務器端對上傳的數據進行加密(Server-Side Encryption)。上傳數據時,OSS對收到的用戶數據進行加密,然后再將得到的加密數據持久化保存下來;下載數據時,OSS自動對保存的加密數據進行解密并把原始數據返回給用戶,并在返回的HTTP請求Header中,聲明該數據進行了服務器端加密。
OSS通過服務器端加密機制,提供靜態數據保護。適合于對于文件存儲有高安全性或者合規性要求的應用場景。例如,深度學習樣本文件的存儲、在線協作類文檔數據的存儲。針對不同的應用場景,OSS有以下兩種服務器端加密方式:
使用KMS托管密鑰進行加解密(SSE-KMS)
上傳文件時,可以使用默認KMS(Key Management Service)托管的CMK(Customer Master Key)或者指定的CMK ID進行加解密操作。這種場景適合于大量的數據加解密。數據無需通過網絡發送到KMS服務端進行加解密,是一種低成本的加解密方式。
KMS是阿里云提供的一款安全、易用的管理類服務。用戶無需花費大量成本來保護密鑰的保密性、完整性和可用性。借助密鑰管理服務,用戶可以安全、便捷的使用密鑰,專注于開發加解密功能場景。用戶可以通過KMS控制臺中查看和管理KMS密鑰。
除了采用AES-256加密算法外,KMS負責保管用戶主密鑰CMK(對數據密鑰進行加密的密鑰),以及生成數據加密的密鑰,通過信封加密機制,進一步防止未經授權的數據訪問。CMK可通過使用OSS默認托管的KMS密鑰的方式或者通過BYOK的方式生成,其中使用的BYOK材料可以由阿里云提供,也可以由用戶自主提供。
SSE-KMS服務器端加密的邏輯示意圖如下。
使用OSS完全托管加密(SSE-OSS)
基于OSS完全托管的加密方式,是Object的一種屬性。OSS服務器端加密使用行業標準的強加密算法AES-256(即256位高級加密標準)加密每個對象,并為每個對象使用不同的密鑰進行加密。作為額外的保護,使用主密鑰對加密密鑰本身進行加密。該方式適合于批量數據的加解密。
該加密方式下,數據加密密鑰的生成和管理由OSS負責。您可以將Bucket默認的服務器端加密方式設置為AES-256,也可以在上傳Object或修改Object的元數據時,在請求中攜帶
X-OSS-server-side-encryption并指定其值為AES256,即可實現該Object的服務器端加密存儲。
更多信息請參見OSS開發指南中的服務器端加密。
客戶端加密
客戶端加密是指將文件(Object)發送到對象存儲OSS之前在本地進行加密。使用客戶端加密功能時,您需要對主密鑰的完整性和正確性負責。在對加密數據進行復制或者遷移時,您需要對加密元數據的完整性和正確性負責。
使用客戶端加密時,會為每個Object生成一個隨機數據加密密鑰,用該隨機數據加密密鑰明文對Object的數據進行對稱加密。主密鑰用于生成隨機的數據加密密鑰,加密后的內容會當作Object的元數據保存在服務端。解密時先用主密鑰將加密后的隨機密鑰解密出來,再用解密出來的隨機數據加密密鑰明文解密Object的數據。主密鑰只參與客戶端本地計算,不會在網絡上進行傳輸或保存在服務端,以保證主密鑰的數據安全。
對于主密鑰的使用,目前支持以下兩種方式:
使用KMS托管用戶主密鑰
當使用KMS托管用戶主密鑰用于客戶端數據加密時,無需向OSS加密客戶端提供任何加密密鑰,只需要在上傳對象時指定KMS用戶主密鑰ID(也就是CMK ID)。具體工作原理如下圖所示。
使用用戶自主管理密鑰
使用用戶自主管理密鑰時,需要您自主生成并保管加密密鑰。當本地客戶端加密Object時,由用戶自主上傳加密密鑰(對稱加密密鑰或者非對稱加密密鑰)至本地加密客戶端。其具體加密過程如下圖所示。
更多信息請參見OSS開發指南中的客戶端加密。
基于SSL/TLS的HTTPS加密傳輸
OSS支持通過HTTP或HTTPS的方式訪問。您也可以在Bucket Policy中設置僅允許通過HTTPS(TLS)來訪問OSS資源,實現更加安全的數據傳輸。安全傳輸層協議(TLS)用于在兩個通信應用程序之間提供保密性和數據完整性。詳情請參見通過Bucket Policy授權用戶訪問指定資源。