すべてのプロダクト
Search
ドキュメントセンター

File Storage NAS:データセキュリティ

最終更新日:Jul 30, 2024

Apsara File Storage NAS (NAS) は、クラウドの潜在的なセキュリティリスクからデータを保護するために、サーバー側の暗号化とクライアント側の暗号化を提供します。 NASは、データの損失を防ぐために、データバックアップとごみ箱機能もサポートしています。

データ暗号化

NASは、クラウドの潜在的なセキュリティリスクからデータを保護するために、サーバー側暗号化とクライアント側暗号化を提供します。

暗号化in transit

NASは、Transport Layer Security (TLS) プロトコルに基づいて、転送中の暗号化機能を提供します。 転送中の暗号化を有効にすると、NASクライアントとNASサーバー間の通信はTLSを使用して暗号化されます。

転送中の暗号化を有効にする方法の詳細については、「NFSファイルシステムの転送中の暗号化」または「SMBファイルシステムの転送中の暗号化」をご参照ください。

サーバー側暗号化

NASは次の暗号化メカニズムをサポートしています。

  • NAS管理キー暗号化

    NAS管理キーを使用してファイルシステムを暗号化できます。 NASは、Key Management Service (KMS) コンソールでキーを作成および管理します。 キーを表示し、キーの権限を変更できます。 ただし、キーを削除または無効にすることはできません。

  • カスタムキー暗号化

    KMSによってホストされているカスタムキーを使用して、ファイルシステムを暗号化および復号できます。 キーが無効または削除された場合、キーによって暗号化されたファイルシステムにアクセスできません。 カスタムキーは、次の2つの方法で生成されます。

    • KMSを使用して作成する: KMSコンソールでカスタマーマスターキー (CMK) を作成できます。 次に、これらのCMKを設定および管理できます。 CMKを有効、無効、削除、およびローテーションできます。

    • 独自のキーの取得 (BYOK): セキュリティに関する特定の要件を満たすために、オンプレミスサービスまたはクラウドサービスによって生成されたBYOKキーをKMSにインポートできます。 これらのキーはCMKとして使用されます。 詳細については、「キーマテリアルのインポート」をご参照ください。

詳細については、「NASコンソールでの汎用NASファイルシステムの作成」および「NASコンソールでのExtreme NASファイルシステムの作成」をご参照ください。

データバックアップ

NASはクラウドバックアップを使用してデータセキュリティを確保します。 データバックアップ機能は、ディザスタリカバリ、偶発的な削除または悪意のある改ざんによる復元、データのバージョン管理、法的コンプライアンス、およびデータ移行のシナリオに適しています。 詳細については、「ファイルのバックアップと復元」をご参照ください。

説明

Cloud Backupは、フルマネージド型のオンラインバックアップサービスで、便利で効率的かつ安全な方法でデータをクラウドにバックアップできます。 Cloud Backupを使用して、Elastic Compute Service (ECS) インスタンス、ECSホストデータベース、ECSファイル、NASファイルシステムObject Storage Service (OSS) バケット、およびTablestoreインスタンスからデータをバックアップできます。 クラウドバックアップを使用して、ファイル、データベース、仮想マシン (VM) 、および大規模なNASファイルシステムを格納する自己管理型データセンターからデータをバックアップすることもできます。 Cloud Backupでは、前述のリソースに対して設定したアーカイブポリシーに基づいて、ディザスタリカバリとアーカイブデータを実装できます。 詳細については、「」をご参照ください。クラウドバックアップとは

誤った削除や悪意のある改ざんなどの操作が重要なデータの可用性に影響を与えるのを防ぐために、NASのごみ箱機能またはスナップショット機能を使用して、NASファイルシステム内のファイルとディレクトリをバックアップし、失われたデータや損傷したデータをできるだけ早く復元できます。 詳細については、「ごみ箱」および「スナップショットの管理」をご参照ください。

ごみ箱

ごみ箱機能は、データが誤って削除されるのを低コストで保護し、ソフトウェアエラーや手動操作ミスなどのロジックエラーによるデータの損失を防ぎます。 詳細については、「ごみ箱」をご参照ください。

データ消去メカニズム

データ消去機構は、ユーザによって削除されたデータがいかなる手段によっても他のユーザによってアクセスされないことを保証する。 次のメカニズムにより、削除されたデータは完全に消去されます。

  • 異なるユーザーのNASファイルシステムのデータは完全に分離されています。 各NASファイルシステム内のデータは、メタデータに基づいて管理、インデックス、および検証されます。 異なるNASファイルシステム間でデータを読み取ることはできません。

  • ファイルがNASファイルシステムから削除された場合、メタデータインデックスは直ちに更新されます。 これにより、対応する物理スペースにインデックスを付けることができず、データを読み取ることができなくなります。 物理ストレージスペースが再割り当てされると、それはクリアされ、メタデータインデックスに追加されます。 システムは、初めてストレージスペースからデータを読み取ろうとする要求に対してゼロのみを返します。

  • NASファイルシステムがリリースされると、ストレージシステムはすぐにメタデータを破棄して、データにアクセスできなくなります。 同時に、NASファイルシステムに対応する物理ストレージスペースがリサイクルされます。 物理記憶空間が再割り当てされると、データは再びクリアされ、次いで新たに書き込まれたデータによって上書きされる。 データが物理ストレージスペースに書き込まれる前に、システムはすべての読み取り要求に対してゼロのみを返します。