1.雲盤加密介紹
目前阿裡雲雲盤提供KMS加密方案,您除了可以使用預設服務密鑰外,還可以使用事先在KMS服務中建立好的CMK進行加密。整個雲盤加密過程都是在ECS端完成,可確定靜态資料安全以及ECS執行個體與後端塊存儲叢集之間傳輸資料的安全性。
2.加密原理
雲盤加密采用AES256機制,授權的使用者在控制台選擇指定CMK ID時,ECS服務通過角色扮演方式,向KMS請求一對明文密鑰以及密文密鑰,ECS服務在擷取密鑰對後,将密文密鑰儲存至雲盤meta資訊中。此後,每次挂載雲盤或者重新開機ECS執行個體時,ECS服務向kms服務擷取明文密鑰,并将該密鑰用于每個I/O加密操作。
目前阿裡雲雲盤服務僅支援AES256加密機制。後續我們也會逐漸演進并支援更多國密算法。
3.使用限制
• 目前所有的雲盤類型均支援加密
• 目前不直接支援系統盤加密,如果要針對系統盤加密,則需要通過鏡像加密方式完成
• 加密會影響雲盤的IO性能,IO密集型場景請根據實際情況評估是否開啟雲盤加密功能
• 針對加密雲盤建立的快照,預設也是加密狀态,并且使用與雲盤相同的加密密鑰
4.控制台操作
雲盤服務預設會在每個region建立1個阿裡雲托管的KM密鑰(Default Service CMK),您可以使用該預設托管的密鑰進行加密,也可以選擇事先在KMS服務中建立的CMK ID。我們建議您使用指定的CMK 進行加密,這樣更加靈活以及便于管理(包括密鑰輪轉,密鑰激活等)
如下圖所示,授權的 使用者在建立雲盤時,可以選擇指定的CMK 進行加密。
