Apsara File Storage NAS (NAS) は、クラウドの潜在的なセキュリティリスクからデータを保護するために、サーバー側の暗号化とクライアント側の暗号化を提供します。 NASは、データの損失を防ぐために、データバックアップとごみ箱機能もサポートしています。
データ暗号化
NASは、クラウドの潜在的なセキュリティリスクからデータを保護するために、サーバー側暗号化とクライアント側暗号化を提供します。
暗号化in transit
NASは、Transport Layer Security (TLS) プロトコルに基づいて、転送中の暗号化機能を提供します。 転送中の暗号化を有効にすると、NASクライアントとNASサーバー間の通信はTLSを使用して暗号化されます。
転送中の暗号化を有効にする方法の詳細については、「NFSファイルシステムの転送中の暗号化」または「SMBファイルシステムの転送中の暗号化」をご参照ください。
サーバー側暗号化
NASは次の暗号化メカニズムをサポートしています。
NAS管理キー暗号化
NAS管理キーを使用してファイルシステムを暗号化できます。 NASは、Key Management Service (KMS) コンソールでキーを作成および管理します。 キーを表示し、キーの権限を変更できます。 ただし、キーを削除または無効にすることはできません。
カスタムキー暗号化
KMSによってホストされているカスタムキーを使用して、ファイルシステムを暗号化および復号できます。 キーが無効または削除された場合、キーによって暗号化されたファイルシステムにアクセスできません。 カスタムキーは、次の2つの方法で生成されます。
KMSを使用して作成する: KMSコンソールでカスタマーマスターキー (CMK) を作成できます。 次に、これらのCMKを設定および管理できます。 CMKを有効、無効、削除、およびローテーションできます。
独自のキーの取得 (BYOK): セキュリティに関する特定の要件を満たすために、オンプレミスサービスまたはクラウドサービスによって生成されたBYOKキーをKMSにインポートできます。 これらのキーはCMKとして使用されます。 詳細については、「キーマテリアルのインポート」をご参照ください。
詳細については、「NASコンソールでの汎用NASファイルシステムの作成」および「NASコンソールでのExtreme NASファイルシステムの作成」をご参照ください。
データバックアップ
NASはクラウドバックアップを使用してデータセキュリティを確保します。 データバックアップ機能は、ディザスタリカバリ、偶発的な削除または悪意のある改ざんによる復元、データのバージョン管理、法的コンプライアンス、およびデータ移行のシナリオに適しています。 詳細については、「ファイルのバックアップと復元」をご参照ください。
Cloud Backupは、フルマネージド型のオンラインバックアップサービスで、便利で効率的かつ安全な方法でデータをクラウドにバックアップできます。 Cloud Backupを使用して、Elastic Compute Service (ECS) インスタンス、ECSホストデータベース、ECSファイル、NASファイルシステム、Object Storage Service (OSS) バケット、およびTablestoreインスタンスからデータをバックアップできます。 クラウドバックアップを使用して、ファイル、データベース、仮想マシン (VM) 、および大規模なNASファイルシステムを格納する自己管理型データセンターからデータをバックアップすることもできます。 Cloud Backupでは、前述のリソースに対して設定したアーカイブポリシーに基づいて、ディザスタリカバリとアーカイブデータを実装できます。 詳細については、「」をご参照ください。クラウドバックアップとは
誤った削除や悪意のある改ざんなどの操作が重要なデータの可用性に影響を与えるのを防ぐために、NASのごみ箱機能またはスナップショット機能を使用して、NASファイルシステム内のファイルとディレクトリをバックアップし、失われたデータや損傷したデータをできるだけ早く復元できます。 詳細については、「ごみ箱」および「スナップショットの管理」をご参照ください。
ごみ箱
ごみ箱機能は、データが誤って削除されるのを低コストで保護し、ソフトウェアエラーや手動操作ミスなどのロジックエラーによるデータの損失を防ぎます。 詳細については、「ごみ箱」をご参照ください。
データ消去メカニズム
データ消去機構は、ユーザによって削除されたデータがいかなる手段によっても他のユーザによってアクセスされないことを保証する。 次のメカニズムにより、削除されたデータは完全に消去されます。
異なるユーザーのNASファイルシステムのデータは完全に分離されています。 各NASファイルシステム内のデータは、メタデータに基づいて管理、インデックス、および検証されます。 異なるNASファイルシステム間でデータを読み取ることはできません。
ファイルがNASファイルシステムから削除された場合、メタデータインデックスは直ちに更新されます。 これにより、対応する物理スペースにインデックスを付けることができず、データを読み取ることができなくなります。 物理ストレージスペースが再割り当てされると、それはクリアされ、メタデータインデックスに追加されます。 システムは、初めてストレージスペースからデータを読み取ろうとする要求に対してゼロのみを返します。
NASファイルシステムがリリースされると、ストレージシステムはすぐにメタデータを破棄して、データにアクセスできなくなります。 同時に、NASファイルシステムに対応する物理ストレージスペースがリサイクルされます。 物理記憶空間が再割り当てされると、データは再びクリアされ、次いで新たに書き込まれたデータによって上書きされる。 データが物理ストレージスペースに書き込まれる前に、システムはすべての読み取り要求に対してゼロのみを返します。