資料安全是指在數字資訊的整個生命週期中保護其資料免遭未經授權的訪問、使用、修改、丟失等風險。雲上資料安全是使用者的生命線,也是雲上安全整體能力最重要的表現,隨著網路威脅繼續發展並在全球範圍內擴充,資料保護變得至關重要,阿里雲有責任和義務保證使用者的資料安全。本文從資料的完整性、機密性和可用性三方面介紹Elastic Compute Service如何保證使用者的資料安全。
保證自身資料的完整性
資料完整性是指在傳輸和預存程序中,防止資料被意外或惡意更改,通過校正等技術來驗證資料的準確性和一致性。
Elastic Compute Service在資料的完整性方面,通過雲端硬碟三副本技術實現資料99.9999999%的可靠性,資料安全擦除機制實現資料擦除的完整性,並且提供了全鏈路的資料迴圈冗餘校正CRC(Cyclic Redundancy Check)功能,以確保資料在傳輸和預存程序中的完整性。
雲端硬碟三副本技術
功能介紹:三副本技術是指您對雲端硬碟的任何讀寫都會複製成三個副本,並將這些副本按照一定的策略存放在儲存叢集中的不同資料節點上,以實現ECS執行個體99.9999999%的資料可靠性保證,保證讀寫過程中的資料穩定性。更多資訊,請參見雲端硬碟三副本技術。
配置方式:雲端硬碟預設支援。
資料擦除機制
功能介紹:資料擦除機制是指分布式Block Storage系統中已刪除的資料一定會被完全擦除,不會被其他使用者通過任何途徑訪問,也無法通過其他方式恢複,進而確保資料的完整性。
資料擦除機制說明如下:
雲端硬碟底層基於順序追加寫實現,該設計充分利用物理盤順序寫高頻寬低時延的特性。基於追加寫的特性,刪除雲端硬碟邏輯空間的操作會被作為中繼資料記錄,一切對該邏輯空間的讀操作,儲存系統會確保返回全零。同理,您對邏輯空間的覆蓋寫不會立即覆蓋物理磁碟上對應空間,儲存系統通過修改邏輯空間與物理空間之間的映射關係來實現雲端硬碟的覆蓋寫,確保無法讀取被覆蓋的資料。一切刪除或者覆蓋寫操作形成的物理磁碟上的遺留資料,會從底層物理磁碟上強制永久刪除。
當您釋放塊裝置(雲端硬碟)時,儲存系統立即銷毀中繼資料,確保無法繼續訪問資料。同時,該雲端硬碟對應的實體儲存體空間會被回收。物理空間再次被分配前一定是清零過的,在首次寫入資料前,所有建立的雲端硬碟的讀取返回全部是零。
配置方式:雲端硬碟預設支援。
CRC校正
功能介紹:雲端硬碟在資料轉送和資料存放區方面,預設支援全鏈路資料迴圈冗餘校正(CRC)功能。
在資料寫入和讀取過程中有全鏈路CRC校正,確保資料轉送過程中雲端硬碟資料完整沒有損壞。
儲存系統定期對持久化介質中的資料進行CRC校正和冗餘一致性校正掃描,確保介質中的資料完整沒有損壞。
配置方式:雲端硬碟預設支援。
在資料的儲存、傳輸、計算環節保證資料機密性
資料機密性是確保資料只可以被合法的個人或系統訪問,防止未授權的訪問和泄露。通常通過加密技術實現,使得即使資料在傳輸過程中被截獲或在儲存時被非法訪問,其內容仍無法解密。
Elastic Compute Service在儲存、傳輸以及運行態全鏈路環節上均提供了豐富的安全能力和方案,以保證使用者對資料機密性的訴求,以下從資料存放區的機密性、資料網路傳輸的機密性、資料運行態計算環境的機密性三方面介紹。
資料存放區的機密性
加密雲端硬碟
功能介紹:雲端硬碟加密是指在建立ECS執行個體(選擇系統硬碟和資料盤)或者單獨建立資料盤時為雲端硬碟勾選加密選項,建立完成後,ECS執行個體作業系統內的資料會在雲端硬碟所在宿主機(ECS執行個體伺服器)被自動加密,並且在讀取資料時自動解密。使用者對這一系列行為在作業系統內資料是否加密是無感的,無需自建和維護密鑰管理基礎設施,就能保護資料的隱私性和自主性,為業務資料提供安全邊界。
配置方式:加密雲端硬碟。
重要對於部分高安全合規要求的企業,針對企業帳號下所有RAM子帳號可能要求必須使用加密以保護資料的機密性。ECS支援配置自訂權限原則限制RAM子帳號僅支援建立加密雲端硬碟,詳細的策略資訊,請參見限制RAM使用者僅支援建立加密雲端硬碟。
加密快照
加密快照是對加密雲端硬碟(包括系統硬碟和資料盤)儲存的加密資料的備份。如果雲端硬碟屬於加密雲端硬碟,其建立的快照將自動繼承雲端硬碟的加密屬性,快照資料在靜止儲存或傳輸過程中都處於加密狀態。即使快照被複製到其他地區或用於恢複雲端硬碟,其內容仍然是加密的。
加密鏡像
加密鏡像是指通過密碼編譯演算法保護儲存在鏡像中的資料免受未經授權的訪問和泄露。即使鏡像資料被未經授權的個人訪問,其中的資料也無法被讀取和解密,從而保護儲存於鏡像中資料的安全性。您可以通過帶有加密系統硬碟的ECS執行個體或加密快照建立加密的鏡像,也可以通過複製鏡像功能將非加密鏡像複製為加密鏡像,實現鏡像的加密。
資料網路傳輸的機密性
ECS在資料轉送機密性上也提供了很多安全能力,以下從使用僅加固模式訪問執行個體中繼資料、使用VPN網關安全訪問、使用HTTPS訪問ECS資源三個維度介紹。
使用僅加固模式訪問執行個體中繼資料
功能介紹:普通模式訪問Metadata Service查看執行個體中繼資料不需要任何身分識別驗證,如果執行個體中繼資料中包含敏感資訊,容易在傳輸鏈路中遭到竊聽或者泄露。如果ECS的服務存在SSRF漏洞,攻擊者可以利用Metadata Service的資料擷取STS token,導致類似AK泄露的風險。相比於普通模式,加固模式基於token的鑒權訪問執行個體資料對SSRF攻擊有更好的防範效果。
配置方式:建議您選擇僅加固模式來訪問Metadata Service擷取中繼資料資訊。更多資訊,請參見執行個體中繼資料。
使用VPN網關安全訪問
功能介紹:VPN網關(VPN Gateway)可以通過建立加密隧道的方式實現企業本機資料、企業辦公網路、互連網用戶端與阿里雲Virtual Private Cloud之間的安全可靠的私網串連。VPN網關提供IPsec-VPN和SSL-VPN兩種網路連接方式,使用網路金鑰交換IKE和IP層協議安全結構IPsec協議對傳輸資料進行加密,保證資料的傳輸安全。
IPsec-VPN串連:每個待傳輸的資料包在進入IPsec-VPN串連前都會經過IPsec協議加密,IPsec協議是一組協議的集合,用於進行資料加密、資料認證,確保資料完整性。
SSL-VPN串連:通過在用戶端安裝SSL用戶端認證實現用戶端和VPN網關之間建立SSL-VPN串連,經過SSL-VPN串連傳輸的流量均會被使用SSL協議加密,以實現資料加密、身份認證和確保資料完整性。
更多資訊,請參見什麼是VPN網關。
配置方式:預設支援。
使用HTTPS訪問ECS資源
功能介紹:HTTPS是在HTTP傳輸的基礎上通過TLS/SSL協議對傳輸中的資料進行加密,可有效防止資料被第三方監聽、截取和篡改。ECS支援使用HTTPS進行加密傳輸,並提供256位密鑰的傳輸加密強度,滿足敏感資訊加密的傳輸要求。使用通過會話管理串連執行個體、使用SSH金鑰組登入執行個體或使用雲助手遠端存取執行個體時,均已使用TLS 1.2加密。
配置方式:預設支援。
重要阿里雲提供了
acs:SecureTransport
配置方案,開啟配置後,只允許通過HTTPS訪問ECS資源,以保護傳輸資料的機密性,建議您自訂權限原則限制RAM使用者只允許通過HTTPS訪問ECS資源。更多資訊,請參見Elastic Compute Service自訂權限原則參考。
資料運行態計算環境的機密性
通過備份與恢複方案保證資料可用性
功能介紹:資料可用性是指在資料的整個生命週期確保資料保持完全、一致和準確的狀態,主要體現在資料的備份與恢複能力上。Elastic Compute Service在資料的備份與恢複方面提供了較為豐富的產品安全能力,包括使用快照備份恢複資料、使用鏡像備份恢複資料、資料盤分區資料丟失恢複方案、多可用性區域部署架構實現資料容災與恢複等,來保證使用者對資料可用性的訴求。
配置方式:ECS災備解決方案。