Apsara File Storage NAS提供伺服器端加密和用戶端加密,可有效防止資料在雲端的潛在安全風險。同時支援資料備份與資源回收筒功能,避免資料丟失。
資料加密
提供伺服器端加密和用戶端加密,可有效防止資料在雲端的潛在安全風險.
資料轉送加密
Apsara File Storage NAS支援TLS傳輸鏈路加密,開啟TLS功能後,NAS用戶端和服務端之間的通訊會進行TLS資料轉送加密。
開啟TLS功能的介紹,請參見NFS協議檔案系統傳輸加密或SMB協議檔案系統傳輸加密。
伺服器端加密
檔案儲存體支援如下兩種加密類型機制:
NAS託管祕密金鑰加密
使用NAS完全託管的祕密金鑰加密每個檔案系統。該密鑰由NAS在KMS(Key Management Service)服務中進行建立和管理,您可以查看密鑰並審計密鑰的使用許可權,但無法刪除、禁用該密鑰。
使用者管理祕密金鑰加密
使用您託管給KMS服務的使用者管理金鑰組檔案系統進行加解密操作。當該密鑰被禁用或者刪除後,使用該密鑰進行加密的NAS檔案系統將不可訪問。使用者管理密鑰有以下兩種來源:
在KMS服務中建立的密鑰:您可以在KMS服務中建立使用者主要金鑰CMK(Customer Master Key),並對CMK進行配置和管理,包括啟用、禁用、刪除、密鑰輪轉等操作。
內建密鑰BYOK(Bring Your Own Key):為了滿足一些特定的安全需求,您可以將本地或其他途徑產生的內建密鑰BYOK匯入KMS,作為使用者主要金鑰CMK。具體操作,請參見匯入密鑰材料。
具體操作,請參見通過控制台建立通用型NAS檔案系統和通過控制台建立極速型NAS檔案系統。
資料備份
通過雲備份 CloudBackup 保障資料安全。資料備份可用於容災備份、誤刪或惡意篡改恢複、資料版本控制、法律合規要求、資料移轉等情境。更多資訊,請參見備份和恢複檔案。
雲備份(Cloud Backup)作為阿里雲統一災備平台,是一種簡單易用、敏捷高效、安全可靠的公用雲資料管理服務,可以為阿里雲ECS整機、ECS資料庫、檔案系統、NAS、OSS、Tablestore以及自建機房內的檔案、資料庫、虛擬機器、大規模NAS等提供備份、容災保護以及策略化歸檔管理。更多資訊,請參見什麼是雲備份。
為了防止由於誤刪除、資料篡改等導致重要資料不可用,您可以使用Apsara File Storage NAS資源回收筒功能或快照功能備份檔案系統中的檔案或目錄,並在資料丟失或受損時及時恢複。更多資訊,請參見資源回收筒和快照。
資源回收筒
低成本資料誤刪保護,避免軟體錯誤、人為誤操作等邏輯錯誤造成的資料丟失。更多資訊,請參見資源回收筒。
資料擦除機制
確保使用者刪除的資料不會被其他使用者通過任何途徑訪問。主要通過以下機制保證資料擦除的完整性:
不同使用者的Apsara File Storage NAS執行個體的資料是完全隔離管理的,每個執行個體資料管理通過各自的中繼資料進行管理,讀取資料根據中繼資料進行索引和校正,不會發生跨執行個體訪問。
一個Apsara File Storage NAS執行個體的檔案被刪除,中繼資料索引會立即更新,保證其對應的物理空間將不會再被索引到,因此資料沒法再被讀取到。這些實體儲存體空間被再次分配時,首先會被清零,然後才會被添加到中繼資料索引中,保證其第一次讀取返回全零。
當您釋放Apsara File Storage NAS執行個體時,儲存系統將立即銷毀中繼資料,確保無法繼續訪問資料。同時,該Apsara File Storage NAS執行個體對應的實體儲存體空間會被回收。物理空間再次被分配時,對應的儲存空間會被再次清零,之後再被新寫入資料覆蓋,在沒有寫入過的地址讀取資料,將會返回全零。