云硬盘加密概述
什么是云硬盘加密
当您由于业务需求从而需要对存储在云硬盘的数据进行加密时,EVS为您提供加密功能,可以对新创建的云硬盘进行加密。
EVS加密采用行业标准的XTS-AES-256加密算法,利用密钥加密云硬盘。加密云硬盘使用的密钥由密码安全中心(DEW,Data Encryption Workshop)中的密钥管理(KMS,Key Management Service)功能提供,无需您自行构建和维护密钥管理基础设施,安全便捷。KMS使用符合FIPS 140-2第3等级认证的硬件安全模块(HSM,Hardware Security Module),从而保护密钥的安全。所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。
加密原理
加密系统采用双层密钥结构,该结构包含两个层级:第一层级为用户的主密钥CMK(Customer Master Key),第二层级为数据密钥DK(Data Key)。其中,主密钥CMK主要用于对数据密钥DK进行加密和解密操作,以确保其在存储或传输过程中的安全性;而数据密钥DK则用于对实际的业务数据进行加解密处理,整个加密流程如下:
- 加密数据密钥DK
在使用数据密钥DK对业务数据进行加密之前,会先使用主密钥CMK对其进行加密。只有经过CMK加密后的数据密钥才会被存储或传输。这样,即使攻击者获取了存储介质并访问到加密的数据密钥和业务数据,缺少主密钥CMK也无法完成解密操作,从而有效保障数据安全。
- 加密数据的存储与读取
当需要读取已加密的数据时,首先向密钥管理(KMS)发起解密请求,用以获取数据密钥的明文。KMS在验证请求合法性后,将使用主密钥CMK 解密数据密钥,并返回其明文形式。这一解密过程通常在内存中完成,不会持久化保存于任何存储介质上。随后,系统通过管理程序在内存中使用该明文数据密钥对云硬盘 I/O 中的加密数据进行解密处理,确保数据在传输和使用过程中的安全性。
云硬盘加密的密钥
- 默认密钥: 由EVS通过KMS自动创建的密钥,系统为您创建默认密钥名称为“evs/default”。
- 自定义密钥: 由用户自己创建的密钥,您可以选择已有的密钥或者新创建密钥,具体请参见《密码安全中心用户指南》的“密钥管理 > 创建密钥”章节。
- 共享密钥:通过DEW服务为其他账号创建授权,将拥有的密钥共享给其他账号使用,具体请参见创建授权。
当加密云硬盘挂载时,EVS访问KMS,KMS会将数据密钥DK(Data Key)发送至宿主机内存中保存,EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用,不会以明文形式持久化存储在介质上。在KMS中设置自定义密钥不可用后,加密云硬盘仍能使用内存中的DK明文,当卸载加密云硬盘后,DK明文会被从内存中删除,无法再读写磁盘。在下次挂载该加密云硬盘时,需要先使该自定义密钥处于可用状态。
|
自定义密钥的状态 |
影响 |
恢复方法 |
|---|---|---|
|
处于“禁用”状态 |
|
启用自定义密钥,具体请参见启用密钥。 |
|
处于“计划删除”状态 |
取消删除自定义密钥,具体请参见取消删除密钥。 |
|
|
已经被删除 |
磁盘数据永远无法恢复。 |
自定义密钥为付费使用,如果为按需计费的密钥,请及时充值确保账户余额充足,如果为包年/包月的密钥,请及时续费,以避免加密云硬盘不可读写导致业务中断,甚至数据永远无法恢复。
加密云硬盘与快照、备份、镜像之间的关系
- 系统盘的加密与创建云服务器的镜像相关:
- 创建空白云硬盘时,可以选择加密或者不加密,创建完成后无法更改加密属性。
- 通过快照创建云硬盘时,云硬盘加密属性和快照源云硬盘保持一致。
- 通过备份创建云硬盘时,云硬盘的加密属性无需和备份保持一致。
- 通过镜像创建云硬盘时,云硬盘加密属性和镜像源云硬盘保持一致。
- 通过云硬盘创建备份时,备份的加密属性与源云硬盘保持一致。
- 通过云硬盘创建快照时,快照的加密属性与源云硬盘保持一致。
加密云硬盘与备份之间的关系
- 系统盘的加密与创建云服务器的镜像相关:
- 如果使用加密镜像创建云服务器,那么系统盘默认开启加密功能,加密方式与镜像保持一致。具体请参见“镜像服务用户指南 > 管理私有镜像 > 加密镜像” 。
- 如果使用非加密镜像创建云服务器,那么支持在创建时设置系统盘加密。具体请参见“弹性云服务器用户指南 > 快速入门 > 创建弹性云服务器 > 步骤一:基础配置”。
- 创建空白云硬盘时,可以选择加密或者不加密,创建完成后无法更改加密属性。
- 通过备份创建云硬盘时,云硬盘的加密属性无需和备份保持一致。
- 通过云硬盘创建备份时,备份的加密属性与源云硬盘保持一致。
