数据安全是指在数字信息的整个生命周期中保护其数据免遭未经授权的访问、使用、修改、丢失等风险。云上数据安全是用户的生命线,也是云上安全整体能力最重要的表现,随着网络威胁继续发展并在全球范围内扩展,数据保护变得至关重要,阿里云有责任和义务保证用户的数据安全。本文从数据的完整性、机密性和可用性三方面介绍云服务器ECS如何保证用户的数据安全。
保证自身数据的完整性
数据完整性是指在传输和存储过程中,防止数据被意外或恶意更改,通过校验等技术来验证数据的准确性和一致性。
云服务器ECS在数据的完整性方面,通过云盘三副本技术实现数据99.9999999%的可靠性,数据安全擦除机制实现数据擦除的完整性,并且提供了全链路的数据循环冗余校验CRC(Cyclic Redundancy Check)功能,以确保数据在传输和存储过程中的完整性。
云盘三副本技术
功能介绍:三副本技术是指您对云盘的任何读写都会复制成三个副本,并将这些副本按照一定的策略存放在存储集群中的不同数据节点上,以实现ECS实例99.9999999%的数据可靠性保证,保证读写过程中的数据稳定性。更多信息,请参见云盘三副本技术。
配置方式:云盘默认支持。
数据擦除机制
功能介绍:数据擦除机制是指分布式块存储系统中已删除的数据一定会被完全擦除,不会被其他用户通过任何途径访问,也无法通过其他方式恢复,进而确保数据的完整性。
数据擦除机制说明如下:
云盘底层基于顺序追加写实现,该设计充分利用物理盘顺序写高带宽低时延的特性。基于追加写的特性,删除云盘逻辑空间的操作会被作为元数据记录,一切对该逻辑空间的读操作,存储系统会确保返回全零。同理,您对逻辑空间的覆盖写不会立即覆盖物理磁盘上对应空间,存储系统通过修改逻辑空间与物理空间之间的映射关系来实现云盘的覆盖写,确保无法读取被覆盖的数据。一切删除或者覆盖写操作形成的物理磁盘上的遗留数据,会从底层物理磁盘上强制永久删除。
当您释放块设备(云盘)时,存储系统立即销毁元数据,确保无法继续访问数据。同时,该云盘对应的物理存储空间会被回收。物理空间再次被分配前一定是清零过的,在首次写入数据前,所有新建的云盘的读取返回全部是零。
配置方式:云盘默认支持。
CRC校验
功能介绍:云盘在数据传输和数据存储方面,默认支持全链路数据循环冗余校验(CRC)功能。
在数据写入和读取过程中有全链路CRC校验,确保数据传输过程中云盘数据完整没有损坏。
存储系统定期对持久化介质中的数据进行CRC校验和冗余一致性校验扫描,确保介质中的数据完整没有损坏。
配置方式:云盘默认支持。
在数据的存储、传输、计算环节保证数据机密性
数据机密性是确保数据只可以被合法的个人或系统访问,防止未授权的访问和泄露。通常通过加密技术实现,使得即使数据在传输过程中被截获或在存储时被非法访问,其内容仍无法解密。
云服务器ECS在存储、传输以及运行态全链路环节上均提供了丰富的安全能力和方案,以保证用户对数据机密性的诉求,以下从数据存储的机密性、数据网络传输的机密性、数据运行态计算环境的机密性三方面介绍。
数据存储的机密性
加密云盘
功能介绍:云盘加密是指在创建ECS实例(选择系统盘和数据盘)或者单独创建数据盘时为云盘勾选加密选项,创建完成后,ECS实例操作系统内的数据会在云盘所在宿主机(ECS实例服务器)被自动加密,并且在读取数据时自动解密。用户对这一系列行为在操作系统内数据是否加密是无感的,无需自建和维护密钥管理基础设施,就能保护数据的隐私性和自主性,为业务数据提供安全边界。
配置方式:云盘加密概述。
重要对于部分高安全合规要求的企业,针对企业账号下所有RAM子账号可能要求必须使用加密以保护数据的机密性。ECS支持配置自定义权限策略限制RAM子账号仅支持创建加密云盘,详细的策略信息,请参见限制RAM用户仅支持创建加密云盘。
加密快照
加密快照是对加密云盘(包括系统盘和数据盘)存储的加密数据的备份。如果云盘属于加密云盘,其创建的快照将自动继承云盘的加密属性,快照数据在静止存储或传输过程中都处于加密状态。即使快照被复制到其他地域或用于恢复云盘,其内容仍然是加密的。
加密镜像
加密镜像是指通过加密算法保护存储在镜像中的数据免受未经授权的访问和泄露。即使镜像数据被未经授权的个人访问,其中的数据也无法被读取和解密,从而保护存储于镜像中数据的安全性。您可以通过带有加密系统盘的ECS实例或加密快照创建加密的镜像,也可以通过复制镜像功能将非加密镜像复制为加密镜像,实现镜像的加密。
数据网络传输的机密性
ECS在数据传输机密性上也提供了很多安全能力,以下从使用仅加固模式访问实例元数据、使用VPN网关安全访问、使用HTTPS访问ECS资源三个维度介绍。
使用仅加固模式访问实例元数据
功能介绍:普通模式访问Metadata Service查看实例元数据不需要任何身份验证,如果实例元数据中包含敏感信息,容易在传输链路中遭到窃听或者泄露。如果ECS的服务存在SSRF漏洞,攻击者可以利用Metadata Service的数据获取STS token,导致类似AK泄露的风险。相比于普通模式,加固模式基于token的鉴权访问实例数据对SSRF攻击有更好的防范效果。
配置方式:建议您选择仅加固模式来访问Metadata Service获取元数据信息。更多信息,请参见实例元数据。
使用VPN网关安全访问
功能介绍:VPN网关(VPN Gateway)可以通过建立加密隧道的方式实现企业本地数据、企业办公网络、互联网客户端与阿里云专有网络VPC之间的安全可靠的私网连接。VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式,使用网络密钥交换IKE和IP层协议安全结构IPsec协议对传输数据进行加密,保证数据的传输安全。
IPsec-VPN连接:每个待传输的数据包在进入IPsec-VPN连接前都会经过IPsec协议加密,IPsec协议是一组协议的集合,用于进行数据加密、数据认证,确保数据完整性。
SSL-VPN连接:通过在客户端安装SSL客户端证书实现客户端和VPN网关之间建立SSL-VPN连接,经过SSL-VPN连接传输的流量均会被使用SSL协议加密,以实现数据加密、身份认证和确保数据完整性。
更多信息,请参见什么是VPN网关。
配置方式:默认支持。
使用HTTPS访问ECS资源
功能介绍:HTTPS是在HTTP传输的基础上通过TLS/SSL协议对传输中的数据进行加密,可有效防止数据被第三方监听、截取和篡改。ECS支持使用HTTPS进行加密传输,并提供256位密钥的传输加密强度,满足敏感信息加密的传输要求。使用通过会话管理连接实例、使用SSH密钥对登录实例或使用云助手远程访问实例时,均已使用TLS 1.2加密。
配置方式:默认支持。
重要阿里云提供了
acs:SecureTransport配置方案,开启配置后,只允许通过HTTPS访问ECS资源,以保护传输数据的机密性,建议您自定义权限策略限制RAM用户只允许通过HTTPS访问ECS资源。更多信息,请参见云服务器ECS自定义权限策略参考。
数据运行态计算环境的机密性
通过备份与恢复方案保证数据可用性
功能介绍:数据可用性是指在数据的整个生命周期确保数据保持完全、一致和准确的状态,主要体现在数据的备份与恢复能力上。云服务器ECS在数据的备份与恢复方面提供了较为丰富的产品安全能力,包括使用快照备份恢复数据、使用镜像备份恢复数据、数据盘分区数据丢失恢复方案、多可用区部署架构实现数据容灾与恢复等,来保证用户对数据可用性的诉求。
配置方式:ECS灾备解决方案。