本文介绍了当前支持服务端集成加密的云产品。云产品通过使用服务托管密钥或者用户自选密钥(包括BYOK-自带密钥)对数据进行服务端加密保护。

服务端集成加密功能可以低成本实现云上数据的加密保护,为业务数据提供安全边界,提升阿里云对您业务安全的保障能力。这不仅适用于您可直接获取的业务数据,也适用于您只能间接访问的业务数据。

服务名称 描述 相关文档
云服务器ECS

ECS云盘加密功能默认使用服务密钥为用户数据进行加密,也支持使用用户自选密钥为用户的数据进行加密。云盘的加密机制中,每一块云盘(Disk)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。

使用ECS云盘加密功能,系统会将从ECS实例传输到云盘的数据自动进行加密,并在读取数据时自动解密。加密解密操作在ECS实例所在的宿主机上进行。在加密解密的过程中,云盘的性能几乎没有衰减。

在创建加密云盘并将其挂载到ECS实例后,系统将对以下数据进行加密:
  • 云盘中的静态数据
  • 云盘和实例间传输的数据(实例操作系统内数据不加密)
  • 从加密云盘创建的所有快照(即加密快照)
加密概述
对象存储OSS
OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption):
  • 上传数据时,OSS对收到的用户数据进行加密,然后将得到的加密数据持久化保存。
  • 下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户。在返回的HTTP请求Header中,声明该数据进行了服务器端加密。

OSS在支持集成KMS之前就支持了SSE-OSS,即:使用OSS私有密钥体系进行服务端加密。这种方式并不使用归属用户的密钥,因此用户无法通过操作审计服务审计密钥使用情况。

OSS支持集成KMS进行服务端加密,称之为SSE-KMS。OSS支持使用服务密钥和用户自选密钥两种方式进行服务端加密。OSS既支持在桶级别配置默认加密CMK,也支持在上传每个对象时使用特定的CMK。

关系型数据库RDS RDS数据加密提供以下两种方式:
  • 云盘加密

    针对RDS云盘版实例,阿里云免费提供云盘加密功能,基于块存储对整个数据盘进行加密。云盘加密使用的密钥由KMS服务加密保护,RDS只在启动实例和迁移实例时,动态读取一次密钥。

  • 透明数据加密TDE

    RDS提供MySQL和SQL Server的透明数据加密TDE(Transparent Data Encryption)功能。TDE加密使用的密钥由KMS服务加密保护,RDS只在启动实例和迁移实例时动态读取一次密钥。当RDS实例开启TDE功能后,用户可以指定参与加密的数据库或者表。这些数据库或者表中的数据在写入到任何设备(磁盘、SSD、PCIe卡)或者服务(对象存储OSS)前都会进行加密,因此实例对应的数据文件和备份都是以密文形式存在的。

云数据库MongoDB MongoDB加密和RDS类似。 设置透明数据加密TDE
云数据库PolarDB PolarDB加密和RDS类似。 设置透明数据加密TDE
文件存储NAS

NAS的加密功能默认使用服务密钥为用户的数据进行加密。NAS的加密机制中,每一卷(Volume)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。

数据加密
表格存储Tablestore

表格存储的加密功能默认使用服务密钥为用户的数据进行加密,同时也支持使用用户自选密钥为用户的数据进行加密。表格存储的加密机制中,每一个表格(Table)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。

大数据计算MaxCompute

MaxCompute支持使用服务密钥作为用户主密钥(CMK)进行数据加密。

云存储网关CSG
云存储网关CSG支持两种方式进行加密:
  • 网关侧加密:文件会在网关侧缓存盘进行加密后上传至OSS。
  • 基于OSS对数据进行加密。
媒体处理MTS

MTS支持私有加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。

加密

视频点播VOD

VOD支持阿里云视频加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。

Web应用托管服务Web+

Web+使用KMS对应用托管服务中使用的敏感配置数据进行加密保护,这包含了类似RDS数据库的访问凭证等机密信息。

云数据库RDS
应用配置管理ACM
ACM通过和KMS集成,对应用配置进行加密,确保敏感配置(数据源、Token、用户名、密码等)的安全性,降低用户配置的泄露风险。ACM服务端和KMS的集成有以下两种方式:
  • 在KMS服务端直接加密

    ACM服务通过KMS的数据加密API,将配置传送到KMS端,指定CMK完成对配置的加密。

  • 在ACM服务端信封加密

    通过KMS的API,使用指定CMK来保护生成的数据密钥(DK),使用数据密钥(DK)在ACM服务端完成对配置的加密。

创建和使用加密配置