文件存储NAS提供服务器端加密和客户端加密,可有效防止数据在云端的潜在安全风险。同时支持数据备份与回收站功能,避免数据丢失。
数据加密
提供服务器端加密和客户端加密,可有效防止数据在云端的潜在安全风险.
数据传输加密
文件存储NAS支持TLS传输链路加密,开启TLS功能后,NAS客户端和服务端之间的通信会进行TLS数据传输加密。
开启TLS功能的介绍,请参见NFS协议文件系统传输加密或SMB协议文件系统传输加密。
服务器端加密
文件存储支持如下两种加密类型机制:
NAS托管密钥加密
使用NAS完全托管的密钥加密每个文件系统。该密钥由NAS在KMS(Key Management Service)服务中进行创建和管理,您可以查看密钥并审计密钥的使用权限,但无法删除、禁用该密钥。
用户管理密钥加密
使用您托管给KMS服务的用户管理密钥对文件系统进行加解密操作。当该密钥被禁用或者删除后,使用该密钥进行加密的NAS文件系统将不可访问。用户管理密钥有以下两种来源:
在KMS服务中创建的密钥:您可以在KMS服务中创建用户主密钥CMK(Customer Master Key),并对CMK进行配置和管理,包括启用、禁用、删除、密钥轮转等操作。
自带密钥BYOK(Bring Your Own Key):为了满足一些特定的安全需求,您可以将本地或其他途径生成的自带密钥BYOK导入KMS,作为用户主密钥CMK。具体操作,请参见导入密钥材料。
具体操作,请参见通过控制台创建通用型NAS文件系统和通过控制台创建极速型NAS文件系统。
数据备份
通过云备份 CloudBackup 保障数据安全。数据备份可用于容灾备份、误删或恶意篡改恢复、数据版本控制、法律合规要求、数据迁移等场景。更多信息,请参见备份和恢复文件。
云备份(Cloud Backup)作为阿里云统一灾备平台,是一种简单易用、敏捷高效、安全可靠的公共云数据管理服务,可以为阿里云ECS整机、ECS数据库、文件系统、NAS、OSS、Tablestore以及自建机房内的文件、数据库、虚拟机、大规模NAS等提供备份、容灾保护以及策略化归档管理。更多信息,请参见什么是云备份。
为了防止由于误删除、数据篡改等导致重要数据不可用,您可以使用文件存储NAS回收站功能或快照功能备份文件系统中的文件或目录,并在数据丢失或受损时及时恢复。更多信息,请参见回收站和快照。
回收站
低成本数据误删保护,避免软件错误、人为误操作等逻辑错误造成的数据丢失。更多信息,请参见回收站。
数据擦除机制
确保用户删除的数据不会被其他用户通过任何途径访问。主要通过以下机制保证数据擦除的完整性:
不同用户的文件存储NAS实例的数据是完全隔离管理的,每个实例数据管理通过各自的元数据进行管理,读取数据根据元数据进行索引和校验,不会发生跨实例访问。
一个文件存储NAS实例的文件被删除,元数据索引会立即更新,保证其对应的物理空间将不会再被索引到,因此数据没法再被读取到。这些物理存储空间被再次分配时,首先会被清零,然后才会被添加到元数据索引中,保证其第一次读取返回全零。
当您释放文件存储NAS实例时,存储系统将立即销毁元数据,确保无法继续访问数据。同时,该文件存储NAS实例对应的物理存储空间会被回收。物理空间再次被分配时,对应的存储空间会被再次清零,之后再被新写入数据覆盖,在没有写入过的地址读取数据,将会返回全零。