在严格的数据安全合规驱动下,云上用户对核心数据的保护已升级为业务连续性保障的核心环节。基于CIPU硬件加密卸载技术的VPC流量加密,通过专用芯片实现网络协议栈底层的全流量自动加密,在保障业务性能无损的同时,有效抵御物理层网络攻击与宿主机流量劫持,满足金融交易、医疗数据传输等高敏场景对高强度加密的安全需求。
什么是VPC流量加密
VPC流量加密功能目前在邀测中,如需使用,请提交工单申请。
VPC流量加密基于CIPU硬件卸载能力,采用AES-GCM-256算法对ECS实例间内网流量进行透明化自动加解密,结合KMS服务的集中化密钥生命周期管理,在保障传输数据抗破解性的同时,实现业务零感知,加密前后性能差异不超过亚微秒级。
开启VPC流量加密后,系统将对传输的动态数据进行全程高强度加密保护,即使攻击者通过物理层网络劫持等手段截获数据报文,也会因加密算法的计算复杂度保护而无法解析原始内容,从而从根本上阻断敏感信息泄露风险。
适用场景
基于CIPU硬件卸载的VPC流量加密功能,通过芯片级能力实现高性能、零感知的传输安全,适用于金融交易、医疗数据传输等对安全与性能有严苛要求的多样化云上场景:
金融高频交易:高频金融交易和实时支付处理需严格防篡改和窃听,VPC流量加密可在不影响网络性能的前提下保障数据安全,满足金融业务对性能和合规的双重需求。
医疗健康信息管理:电子病历、诊断数据传输需符合HIPAA等隐私法规,VPC流量加密可以在不影响医疗系统实时响应的前提下保护患者数据,降低隐私泄露的合规风险。
使用限制
地域限制
VPC流量加密功能正在逐步开放,以下是目前支持的地域和可用区:
地域名称 | 地域ID | 可用区名称 | 可用区ID |
华北2(北京) | cn-beijing | 可用区I | cn-beijing-i |
华东2(上海) | cn-shanghai | 可用区L | cn-shanghai-l |
规格限制
目前在部分规格族上支持,包括g9ae、c9ae、r9ae、ebmg9ae、ebmc9ae、ebmr9ae。
说明支持的规格正在邀测中,如需使用,请提交工单申请。
ECS实例默认关闭VPC流量加密,您可以在创建实例时或创建实例后打开/关闭。
您可以通过DescribeInstanceTypes接口查询规格支持情况,返回值NetworkEncryptionSupport为true表示支持,false表示不支持。
规格变更可能影响VPC流量加密支持,请注意确认。
加密范围限制
开启/关闭VPC流量加密
控制台开启/关闭
API开启/关闭
您可以在调用RunInstances时,通过设置NetworkOptions配置中的EnableNetworkEncryption为true、false,创建开启、关闭VPC流量加密的实例。
您可以调用ModifyInstanceAttribute接口修改实例的VPC流量加密配置,设置参数EnableNetworkEncryption为true、false,实现开启、关闭流量加密。
您可以调用DescribeInstanceAttribute接口查询实例的VPC流量加密配置,通过返回的EnableNetworkEncryption确认指定实例的VPC流量加密功能是否开启。
在支持的加密范围内,ECS实例开启VPC流量加密后,实例间的私网流量均会强制加密。