文件存储NAS提供服务器端加密和客户端加密,可有效防止数据在云端的潜在安全风险。
数据加密
数据传输加密
文件存储NAS支持TLS传输链路加密,开启TLS功能后,NAS客户端和服务端之间的通信会进行TLS数据传输加密。
开启TLS功能的介绍,请参见NFS文件系统传输加密或SMB文件系统传输加密。
服务器端加密
文件存储支持如下两种加密类型机制:
NAS托管密钥加密
使用NAS完全托管的密钥加密每个文件系统。该密钥由NAS在KMS(Key Management Service)服务中进行创建和管理,您可以查看密钥并审计密钥的使用权限,但无法删除、禁用该密钥。
用户管理密钥加密
使用您托管给KMS服务的用户管理密钥对文件系统进行加解密操作。当该密钥被禁用或者删除后,使用该密钥进行加密的NAS文件系统将不可访问。用户管理密钥有以下两种来源:
在KMS服务中创建的密钥:您可以在KMS服务中创建用户主密钥CMK(Customer Master Key),并对CMK进行配置和管理,包括启用、禁用、删除、密钥轮转等操作。
自带密钥BYOK(Bring Your Own Key):为了满足一些特定的安全需求,您可以将本地或其他途径生成的自带密钥BYOK导入KMS,作为用户主密钥CMK。具体操作,请参见导入密钥材料。
具体操作,请参见通过控制台创建通用型NAS文件系统和通过控制台创建极速型NAS文件系统。
数据恢复
文件存储NAS支持通过云备份服务进行备份与恢复。数据备份可用于容灾备份、误删或恶意篡改恢复、数据版本控制、法律合规要求、数据迁移等场景。更多信息,请参见备份和恢复文件。
云备份(Cloud Backup)作为阿里云统一灾备平台,是一种简单易用、敏捷高效、安全可靠的公共云数据管理服务,可以为阿里云ECS整机、ECS数据库、文件系统、NAS、OSS、Tablestore以及自建机房内的文件、数据库、虚拟机、大规模NAS等提供备份、容灾保护以及策略化归档管理。更多信息,请参见什么是云备份。
为了防止由于误删除、数据篡改等导致重要数据不可用,您可以使用文件存储NAS回收站功能或快照功能备份文件系统中的文件或目录,并在数据丢失或受损时及时恢复。更多信息,请参见回收站和快照。
- 本页导读