データセキュリティとは、デジタル情報をそのライフサイクル全体にわたって、不正なアクセス、使用、変更、または損失から保護することです。クラウドにおけるデータセキュリティは、お客様のオペレーションにとって不可欠であり、クラウド全体のセキュリティを測る重要な指標です。ネットワークの脅威が進化し、グローバルに拡大するにつれて、データ保護はますます重要になります。Alibaba Cloud は、お客様のデータのセキュリティを確保する責任を負います。このトピックでは、Elastic Compute Service (ECS) がデータ整合性、機密性、可用性の観点からデータセキュリティをどのように確保しているかについて説明します。
データ整合性の確保
データ整合性とは、転送中およびストレージ中のデータが偶発的または悪意を持って変更されるのを防ぐことを意味します。検証などの技術を用いて、データの正確性と一貫性を確認します。
Elastic Compute Service (ECS) は、複数の方法でデータ整合性を確保します。データ信頼性のための三重化ストレージと、完全なデータ消去のための安全なデータ消去メカニズムを使用します。また、ECS は、転送中およびストレージ中のデータを保護するために、エンドツーエンドの巡回冗長検査 (CRC) 機能も提供します。
三重化ストレージ
機能説明:ディスクにデータを読み書きする際、データは 3 つのコピーに複製されます。これらのコピーは、特定のポリシーに基づいてストレージクラスター内の異なるデータノードに保存されます。これにより、ECS インスタンスのデータ信頼性が提供され、読み書き操作中のデータ安定性が確保されます。詳細については、「ディスクの三重化ストレージ」をご参照ください。
構成方法:この機能は、デフォルトでディスクに対して有効になっています。
データ消去メカニズム
機能説明:データ消去メカニズムは、分散 Elastic Block Storage システム内の削除されたデータが完全に消去されることを保証します。データは他のユーザーによってアクセスまたは復元できなくなり、データ整合性が確保されます。
データ消去メカニズムは次のように機能します:
クラウドディスクは、基盤となるレイヤーでシーケンシャルな追記書き込みを使用します。この設計は、物理ディスクでのシーケンシャル書き込みの高い帯域幅と低いレイテンシを活用します。追記書き込み機能のため、クラウドディスク上の論理空間を削除する操作はメタデータとしてのみ記録されます。この論理空間から読み取りを試みると、ストレージシステムはすべてゼロを返します。同様に、論理空間を上書きしても、物理ディスク上の対応する空間がすぐに上書きされるわけではありません。代わりに、ストレージシステムは論理空間と物理空間のマッピングを変更して上書きを実行します。これにより、元のデータは読み取れなくなります。削除または上書き操作による物理ディスク上の残留データは、後で完全に削除されます。
クラウドディスクなどのブロックデバイスをリリースすると、ストレージシステムは直ちにそのメタデータを破棄し、データにアクセスできなくします。クラウドディスクが占有していた物理空間も回収されます。この物理空間は、再割り当てされる前にクリアされます。新しく作成されたすべてのクラウドディスクは、最初の書き込み前のすべての読み取り操作に対してゼロを返します。
構成方法:この機能は、デフォルトでディスクに対して有効になっています。
巡回冗長検査
機能説明:ディスクは、データの転送とストレージのために、デフォルトでエンドツーエンドの巡回冗長検査 (CRC) をサポートします。
データの読み書き操作中に、エンドツーエンドの CRC が実行され、ディスクデータが完全なままであり、転送中に破損しないことが保証されます。
ストレージシステムは、永続メディア内のデータに対して定期的に CRC と冗長性整合性スキャンを実行し、データが完全で破損していないことを確認します。
構成方法:この機能は、デフォルトでディスクに対して有効になっています。
データストレージ、転送、コンピューティングにおけるデータ機密性の確保
データ機密性とは、不正なアクセスや開示を防ぐために、許可された個人またはシステムのみがデータにアクセスできるようにすることです。これは通常、暗号化によって実現されます。これにより、データが転送中に傍受されたり、ストレージ中に不正にアクセスされたりしても、データを読み取ることができなくなります。
ECS は、ストレージ、転送、ランタイム中のデータ機密性を確保するために、さまざまなセキュリティ機能とソリューションを提供します。これについては、データストレージの機密性、ネットワークデータ転送の機密性、ランタイムデータのコンピューティング環境の機密性の 3 つの側面から説明します。
データストレージの機密性
暗号化されたクラウドディスク
機能説明:システムディスクとデータディスクを持つ ECS インスタンスを作成する場合、またはデータディスクを個別に作成する場合に、ディスクの [暗号化] オプションを選択します。ディスクが作成されると、ECS インスタンスのオペレーティングシステム内のデータは、ディスクに書き込まれる際にホスト上で自動的に暗号化されます。データは読み取られる際に自動的に復号されます。このプロセスはオペレーティングシステムに対して透過的です。鍵管理インフラストラクチャを構築または維持する必要はありません。ディスク暗号化は、データのプライバシーと自律性を保護し、ビジネスデータに安全な境界を提供します。
構成手順については、「クラウドディスクの暗号化」をご参照ください。
重要高いセキュリティとコンプライアンス要件を持つ企業では、データ機密性を保護するために、ビジネスアカウント配下のすべての RAM ユーザーに対して暗号化を強制する必要がある場合があります。ECS では、RAM ユーザーが暗号化されたディスクのみを作成できるように、カスタムポリシーを構成できます。詳細については、「RAM ユーザーに暗号化されたディスクのみの作成を強制する」をご参照ください。
暗号化されたスナップショット
暗号化されたスナップショットは、暗号化されたディスク (システムディスクまたはデータディスク) に保存されている暗号化されたデータのバックアップです。ディスクが暗号化されている場合、そこから作成されたスナップショットは自動的に暗号化プロパティを継承します。スナップショットデータは、ストレージ中および転送中も暗号化されたままです。スナップショットが別のリージョンにコピーされたり、ディスクを復元するために使用されたりしても、データは暗号化されたままです。
暗号化されたイメージ
イメージ暗号化は、暗号化アルゴリズムを使用して、イメージ内のデータを不正なアクセスや開示から保護します。権限のない人物がイメージデータにアクセスしても、それを読み取ったり復号したりすることはできず、イメージに保存されているデータが保護されます。暗号化されたシステムディスクを持つ ECS インスタンスから、または暗号化されたスナップショットから、暗号化されたイメージを作成できます。また、暗号化されていないイメージをコピーして、暗号化されたイメージを作成することもできます。
ネットワークデータ転送の機密性
ECS は、データ転送中の機密性を確保するために複数のセキュリティ機能を提供します。このセクションでは、セキュリティ強化モードを使用してインスタンスメタデータにアクセスする方法、VPN Gateway を使用して安全にアクセスする方法、および HTTPS を使用して ECS リソースにアクセスする方法について説明します。
セキュリティ強化モードでのインスタンスメタデータへのアクセス
機能説明:通常モードでは、認証なしでメタデータサービスにアクセスしてインスタンスメタデータを表示できます。インスタンスメタデータに機密情報が含まれている場合、転送中に傍受または漏洩する可能性があります。ECS サービスにサーバーサイドリクエストフォージェリ (SSRF) の脆弱性がある場合、攻撃者はメタデータサービスを使用してセキュリティトークンサービス (STS) トークンを取得する可能性があります。これにより、AccessKey ペアの漏洩と同様のリスクが生じます。通常モードと比較して、セキュリティ強化モードは、トークンベースの認証を使用してインスタンスデータにアクセスすることで、SSRF 攻撃に対するより優れた保護を提供します。
構成方法:セキュリティ強化モードを選択してメタデータサービスにアクセスし、メタデータを取得します。詳細については、「インスタンスメタデータ」をご参照ください。
VPN Gateway を使用したセキュアなアクセス
機能説明:VPN Gateway は、暗号化されたトンネルを確立して、オンプレミスのデータセンター、オフィスネットワーク、およびインターネットクライアントを Alibaba Cloud の Virtual Private Cloud (VPC) に安全かつ確実に接続します。VPN Gateway は、IPsec-VPN と SSL-VPN の 2 つの接続方法を提供します。インターネットキー交換 (IKE) と IPsec プロトコルを使用して転送中のデータを暗号化し、データセキュリティを確保します。
IPsec 接続:データパケットが IPsec 接続を介して送信される前に、IPsec プロトコルによって暗号化されます。IPsec は、データ整合性を確保するためのデータ暗号化と認証に使用されるプロトコルスイートです。
SSL 接続:クライアントに SSL クライアント証明書をインストールして、クライアントと VPN Gateway の間に SSL 接続を確立します。SSL 接続を介して送信されるトラフィックは、SSL プロトコルを使用して暗号化され、データ暗号化、身分認証、およびデータ整合性を提供します。
詳細については、「VPN Gateway とは」をご参照ください。
構成方法:この機能はデフォルトでサポートされています。
HTTPS を使用した ECS リソースへのアクセス
機能説明:HTTPS は、Transport Layer Security (TLS)/SSL を使用して HTTP 上に構築され、転送中のデータを暗号化します。これにより、データが第三者によって監視、傍受、または改ざんされるのを防ぎます。ECS は、暗号化された伝送のために HTTPS をサポートし、機密情報の送信要件を満たすために 256 ビット暗号化を提供します。コンソールでセッション管理接続を使用してインスタンスに接続する場合、SSH キーペアを使用してインスタンスにログインする場合、またはクラウドアシスタントを使用してリモートアクセスする場合に、TLS 1.2 暗号化が使用されます。
構成方法:この機能はデフォルトでサポートされています。
重要Alibaba Cloud は、
acs:SecureTransport条件キーを提供します。この設定を有効にすると、HTTPS 経由でのみ ECS リソースにアクセスできるようになり、転送中のデータの機密性が保護されます。カスタムポリシーを構成して、RAM ユーザーが HTTPS 経由でのみ ECS リソースにアクセスできるように制限できます。詳細については、「カスタムポリシー」をご参照ください。
ランタイムデータのコンピューティング環境の機密性
機能説明:データストレージと転送に加えて、ランタイムデータのコンピューティング環境の機密性も重要です。セキュリティ強化型 ECS インスタンスは、ハードウェア暗号化、隔離、ユーザー監査などの技術を使用して、安全で信頼性の高い、隔離された環境を提供します。これらのインスタンスは、さまざまなセキュリティとパフォーマンスの要件を満たすために、異なるレベルの保護を提供します。セキュリティ強化型 ECS インスタンスには、デフォルトでメモリ暗号化を提供するインスタンスタイプ、トラステッドコンピューティング、およびコンフィデンシャルコンピューティングが含まれます。詳細については、「セキュリティ機能の概要」をご参照ください。
構成方法:詳細については、「トラステッドコンピューティング機能」、「コンフィデンシャルコンピューティング機能」、および「セキュリティ機能のベストプラクティス」をご参照ください。
バックアップとリカバリソリューションによるデータ可用性の確保
機能説明:データ可用性は、データがそのライフサイクル全体を通じて完全、一貫性、かつ正確であり続けることを保証します。これは主に、バックアップとリカバリ機能によって実現されます。ECS は、データ可用性の要件を満たすために、バックアップとリカバリに関する豊富なプロダクト機能を提供します。これには、スナップショットバックアップを使用したデータリカバリ、イメージバックアップを使用したデータリカバリ、データディスクパーティションから失われたデータを回復するためのソリューション、およびディザスタリカバリのためのマルチゾーンデプロイメントアーキテクチャが含まれます。
構成方法:詳細については、「ECS ディザスタリカバリソリューション」をご参照ください。