当ECS工作负载用于处理生产数据时,通常会接触到您的业务机密、隐私信息或者关键凭证,因此需要对工作负载进行保护以防范信息泄露。KMS支持对ECS工作负载进行一键加密,保护计算环境中产生的临时和持久数据,满足您对数据安全、隐私以及合规的要求,让您可以高效、低成本的构建安全的云上计算环境。

背景信息

客户的数据安全需求为保护业务机密和个人隐私。这类数据是企业的核心价值所在,通常受到监管合规的约束。例如:GDPR会要求企业保护个人的隐私数据。这类数据通常存储在数据库,应用系统应当在存储之前将其加密,降低数据库面临撞库拖库等攻击之后泄露的风险。

为了保证加密的安全性与合规性,应用系统可以使用KMS或者加密服务完成业务数据的加密。应用层加密业务数据详情,请参见使用KMS信封加密在本地加密或解密数据

如果您已经采取了上述保护手段,那么处理加解密的工作负载就替代了数据库,成为了您的系统中新的薄弱环节。工作负载携带的风险如下:

  • 您的ECS应用中,有访问KMS或者密码机,以及访问其他微服务、子系统的关键凭证。
  • 您的ECS系统盘,可能产生一些临时文件,包含网络传输和本地处理过程中接触到的敏感数据。
  • 您的ECS云盘,开启了基于自动快照的云盘备份,对敏感数据进行大量冗余存储。
说明 实际的业务系统部署会面临更多的问题,例如:在研发(DevOps)自治的应用部署和生命周期变更机制下,运维与安全负责人并不知道工作负载是否产生了新的敏感数据类型,是否引入新的业务逻辑处理敏感数据。

产品价值

阿里云ECS基于KMS加密,提供保护工作负载所属资源的能力,例如:ECS系统盘、数据盘,以及和它们相关的镜像、快照。

您可以授权ECS使用KMS中的用户主密钥(CMK),一键加密这些资源,保护已知、未知、临时和持久性的敏感数据,防范它们被恶意者获取。您也可以根据需求,通过撤销授权、禁用密钥等手段,撤销ECS使用KMS解密的能力,获得应急响应的能力。

说明 对运维与安全负责人而言,加密ECS工作负载的资源是研发(DevOps)模式下,简单而有效的安全兜底方案。

加密系统盘

由于系统盘包含操作系统以及业务所需要的应用软件,因此它通常被打包为一个镜像。

当您制作完成这个具备在生产环境运行的自定义镜像并作为基线之后,即可通过复制镜像的方式,产生一个加密镜像,为系统盘进行加密。

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 镜像
  3. 在顶部菜单栏左上角处,选择地域。
  4. 镜像列表处,单击自定义镜像页签。
  5. 选择需要复制的镜像,在操作列中,单击复制镜像
    说明 如果自定义镜像大于500GiB,单击复制镜像时,请根据系统引导提交工单。
  6. 复制镜像对话框,勾选加密,在下拉列表中选择一个密钥。
    阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以将事先在KMS服务中创建的自带密钥(BYOK)指定为该云盘的加密密钥。建议您使用自带密钥(BYOK)进行加密。
    说明 首次选择更多类型密钥时,单击同意授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。本步骤仅描述复制镜像时如何配置加密选项,其余配置详情,请参见复制镜像
    复制镜像-控制台对话框
  7. 单击确定

加密数据盘

您可以在创建实例或者创建云盘时加密数据盘。

创建实例时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 实例列表页面的右上角,单击创建实例
  4. 基础配置页面的存储区域,按以下步骤操作。
    说明 本步骤仅描述创建实例时如何配置加密选项,其余配置详情,请参见使用向导创建实例
    1. 单击增加一块数据盘
    2. 选择数据盘的云盘类型以及容量等配置。
    3. 勾选加密,在下拉列表中选择一个密钥。
      阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以将事先在KMS服务中创建的自带密钥(BYOK)指定为该云盘的加密密钥。建议您使用自带密钥(BYOK)进行加密。
      说明 首次选择更多类型密钥时,单击同意授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。
      创建实例时加密数据盘

创建云盘时加密数据盘

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击存储与快照 > 云盘
  3. 云盘页面右上角,单击创建云盘
  4. 配置云盘类型和容量等具体信息。
    说明 本步骤仅描述创建云盘时如何配置加密选项,具体配置详情,请参见创建云盘
  5. 存储区域,勾选加密,在下拉列表中选择一个密钥。
    阿里云默认使用托管的服务密钥(Default Service CMK)进行加密,您也可以将事先在KMS服务中创建的自带密钥(BYOK)指定为该云盘的加密密钥。建议您使用自带密钥(BYOK)进行加密。
    说明 首次选择更多类型密钥时,单击同意授权,根据页面引导为ECS授权AliyunECSDiskEncryptDefaultRole角色,允许ECS访问您的KMS资源。
    创建按量数据盘