阿里云：使用KMS一鍵保護(hù)ECS工作負(fù)載

本文介紹如何利用阿里云KMS，對ECS上的工作負(fù)載進(jìn)行保護(hù)。

為什么需要保護(hù)工作負(fù)載

在討論工作負(fù)載的保護(hù)之前，我們先來了解一下更原始的數(shù)據(jù)安全需求：保護(hù)業(yè)務(wù)機(jī)密和個人隱私。這類數(shù)據(jù)是企業(yè)的核心價值所在，而且通常也受到監(jiān)管合規(guī)的約束，例如廣泛所知的GDPR會要求企業(yè)保護(hù)個人的隱私數(shù)據(jù)。

這類數(shù)據(jù)通常存儲在數(shù)據(jù)庫，那么應(yīng)用系統(tǒng)應(yīng)當(dāng)在存儲之前將其加密，降低數(shù)據(jù)庫面臨撞庫拖庫等攻擊之后泄露的風(fēng)險。

為了保證加密的安全性與合規(guī)性，應(yīng)用系統(tǒng)可以使用KMS或者加密服務(wù)完成業(yè)務(wù)數(shù)據(jù)的加密。關(guān)于應(yīng)用層加密業(yè)務(wù)數(shù)據(jù)，可以參考KMS信封加密做了解更多，本文不做展開。

我們假定您已經(jīng)做了上述保護(hù)手段，那么處理加解密的工作負(fù)載，就替代了數(shù)據(jù)庫，成為了您的系統(tǒng)中新的薄弱環(huán)節(jié)?？紤]以下幾種情況：

您的ECS應(yīng)用中，有訪問KMS或者密碼機(jī)，以及訪問其他微服務(wù)、子系統(tǒng)的關(guān)鍵憑證；

您的ECS系統(tǒng)盤，可能產(chǎn)生一些臨時文件，包含網(wǎng)絡(luò)傳輸、本地處理過程中，接觸到的敏感數(shù)據(jù);

為了系統(tǒng)穩(wěn)定可恢復(fù)，您對ECS云盤開啟了基于自動快照的“云盤備份”，對敏感數(shù)據(jù)進(jìn)行大量冗余存儲；

實(shí)際的業(yè)務(wù)系統(tǒng)部署會面臨比以上三點(diǎn)更多的問題，而更本質(zhì)的問題是：

在研發(fā)（DevOps）自治的應(yīng)用部署和生命周期變更機(jī)制下，運(yùn)維與安全負(fù)責(zé)人并不知道工作負(fù)載是否產(chǎn)生了新的敏感數(shù)據(jù)類型，是否引入新的業(yè)務(wù)邏輯處理敏感數(shù)據(jù)。

KMS帶來的價值

明確了工作負(fù)載所攜帶的風(fēng)險，因此阿里云ECS基于KMS加密，提供保護(hù)工作負(fù)載所屬資源的能力，這包括：ECS的系統(tǒng)盤、數(shù)據(jù)盤，以及和它們相關(guān)的鏡像、快照。

您可以授權(quán)ECS使用您在KMS中的用戶主密鑰（CMK），一鍵加密這些資源，把已知和未知的，臨時和持久性的敏感數(shù)據(jù)都保護(hù)起來，防范它們被惡意者獲取。由于您同時具備撤銷ECS使用KMS解密的能力，因此可以在特定的時候，通過撤銷授權(quán)、禁用密鑰等手段，獲得應(yīng)急響應(yīng)的能力。

對負(fù)責(zé)運(yùn)維和安全的團(tuán)隊(duì)來說，加密ECS工作負(fù)載的資源是DevOps研發(fā)模式下，簡單而有效的安全兜底方案。

一鍵加密系統(tǒng)盤

由于系統(tǒng)盤實(shí)際上包含了操作系統(tǒng)，以及業(yè)務(wù)所需要的應(yīng)用軟件，因此它通常被打包為一個鏡像。

當(dāng)您制作好這個具備在生產(chǎn)環(huán)境運(yùn)行的自定義鏡像作為基線之后，就可以通過拷貝鏡像的方式，產(chǎn)生一個加密鏡像。

隨后基于此加密鏡像（Golden Image）創(chuàng)建ECS實(shí)例系統(tǒng)盤時，則可以自動使用相應(yīng)的KMS CMK完成對系統(tǒng)盤的加密。

而基于加密系統(tǒng)盤創(chuàng)造出來的其他資源（例如快照）也都是加密的。

總結(jié)：先制作基線鏡像；然后一鍵加密基線鏡像?；诩用茜R像創(chuàng)建的系統(tǒng)盤自動被加密。

一鍵加密數(shù)據(jù)盤

數(shù)據(jù)盤的加密則更直接一點(diǎn)，您可以在創(chuàng)建實(shí)例或者創(chuàng)建數(shù)據(jù)盤時完成加密。

創(chuàng)建ECS實(shí)例時

創(chuàng)建云盤時

同樣，基于加密數(shù)據(jù)盤創(chuàng)建出來的其他資源也都是加密的。

總結(jié)：找到并且勾選“加密”，隨后選擇用于加密的CMK。

小結(jié)和最佳實(shí)踐

本文探討了ECS工作負(fù)載的保護(hù)需求，并且介紹了如何利用KMS對其一鍵保護(hù)。雖然本文以保護(hù)敏感的“企業(yè)機(jī)密”和“個人隱私”為切入介紹了其必要性，實(shí)際的生產(chǎn)部署中，需要保護(hù)的機(jī)密信息類型更加廣泛。

長期的安全研究指向以下兩個結(jié)論：

實(shí)際的生產(chǎn)環(huán)境部署中，幾乎所有的應(yīng)用都會涉及到某種類型的機(jī)密信息，尤其是廣泛存在的訪問密鑰、口令、證書等

“預(yù)發(fā)布”環(huán)境或者測試環(huán)境的部署中，往往包含了一些可以推導(dǎo)生產(chǎn)環(huán)境機(jī)密信息的其他信息

因此在越來越多的企業(yè)生產(chǎn)實(shí)踐中，逐步傾向于制定和實(shí)施一種默認(rèn)加密的安全策略，對工作負(fù)載涉及到的敏感信息進(jìn)行保護(hù)，而基于KMS的ECS透明加密正是為了滿足這一需求量身定制，讓您可以高效、低成本的構(gòu)建安全的云上計(jì)算環(huán)境。

參考資料

阿里云官網(wǎng)用戶指南：

ECS云盤加密

云產(chǎn)品集成KMS透明加密