當您的 ECS 工作負載用于處理生產(chǎn)數(shù)據(jù)時����,它通常會接觸到您的關(guān)鍵業(yè)務機密、您的客戶隱私信息或者關(guān)鍵系統(tǒng)憑證����,因此需要對工作負載進行保護防范信息泄露。阿里云 KMS 支持您通過一鍵加密的方式���,圍繞工作負載����,保護計算環(huán)境中產(chǎn)生的臨時和持久數(shù)據(jù)�,滿足您對數(shù)據(jù)安全、隱私以及合規(guī)的要求�����。 對負責運維和安全的團隊來說���,加密 ECS 工作負載的資源是 DevOps 研發(fā)模式下�,簡單而有效的安全兜底方案。
本文介紹如何利用阿里云KMS����,對ECS上的工作負載進行保護���。
為什么需要保護工作負載
在討論工作負載的保護之前����,我們先來了解一下更原始的數(shù)據(jù)安全需求:保護業(yè)務機密和個人隱私�。這類數(shù)據(jù)是企業(yè)的核心價值所在,而且通常也受到監(jiān)管合規(guī)的約束���,例如廣泛所知的GDPR會要求企業(yè)保護個人的隱私數(shù)據(jù)�。
這類數(shù)據(jù)通常存儲在數(shù)據(jù)庫����,那么應用系統(tǒng)應當在存儲之前將其加密,降低數(shù)據(jù)庫面臨撞庫拖庫等攻擊之后泄露的風險�。
為了保證加密的安全性與合規(guī)性,應用系統(tǒng)可以使用KMS或者加密服務完成業(yè)務數(shù)據(jù)的加密�。關(guān)于應用層加密業(yè)務數(shù)據(jù),可以參考KMS信封加密做了解更多�����,本文不做展開。
我們假定您已經(jīng)做了上述保護手段�,那么處理加解密的工作負載,就替代了數(shù)據(jù)庫����,成為了您的系統(tǒng)中新的薄弱環(huán)節(jié)??紤]以下幾種情況:
您的ECS應用中,有訪問KMS或者密碼機�,以及訪問其他微服務、子系統(tǒng)的關(guān)鍵憑證����;
您的ECS系統(tǒng)盤,可能產(chǎn)生一些臨時文件���,包含網(wǎng)絡傳輸����、本地處理過程中����,接觸到的敏感數(shù)據(jù);
為了系統(tǒng)穩(wěn)定可恢復�����,您對ECS云盤開啟了基于自動快照的“云盤備份”�����,對敏感數(shù)據(jù)進行大量冗余存儲;
實際的業(yè)務系統(tǒng)部署會面臨比以上三點更多的問題�����,而更本質(zhì)的問題是:
在研發(fā)(DevOps)自治的應用部署和生命周期變更機制下����,運維與安全負責人并不知道工作負載是否產(chǎn)生了新的敏感數(shù)據(jù)類型,是否引入新的業(yè)務邏輯處理敏感數(shù)據(jù)����。
KMS帶來的價值
明確了工作負載所攜帶的風險,因此阿里云ECS基于KMS加密����,提供保護工作負載所屬資源的能力,這包括:ECS的系統(tǒng)盤�����、數(shù)據(jù)盤,以及和它們相關(guān)的鏡像�����、快照�。
您可以授權(quán)ECS使用您在KMS中的用戶主密鑰(CMK),一鍵加密這些資源�,把已知和未知的,臨時和持久性的敏感數(shù)據(jù)都保護起來�����,防范它們被惡意者獲取���。由于您同時具備撤銷ECS使用KMS解密的能力���,因此可以在特定的時候,通過撤銷授權(quán)���、禁用密鑰等手段�����,獲得應急響應的能力����。
對負責運維和安全的團隊來說,加密ECS工作負載的資源是DevOps研發(fā)模式下���,簡單而有效的安全兜底方案���。
一鍵加密系統(tǒng)盤
由于系統(tǒng)盤實際上包含了操作系統(tǒng)����,以及業(yè)務所需要的應用軟件,因此它通常被打包為一個鏡像�。
當您制作好這個具備在生產(chǎn)環(huán)境運行的自定義鏡像作為基線之后,就可以通過拷貝鏡像的方式�����,產(chǎn)生一個加密鏡像���。
隨后基于此加密鏡像(Golden Image)創(chuàng)建ECS實例系統(tǒng)盤時�����,則可以自動使用相應的KMS CMK完成對系統(tǒng)盤的加密�����。
而基于加密系統(tǒng)盤創(chuàng)造出來的其他資源(例如快照)也都是加密的���。
總結(jié):先制作基線鏡像�;然后一鍵加密基線鏡像���?��;诩用茜R像創(chuàng)建的系統(tǒng)盤自動被加密。
一鍵加密數(shù)據(jù)盤
數(shù)據(jù)盤的加密則更直接一點�,您可以在創(chuàng)建實例或者創(chuàng)建數(shù)據(jù)盤時完成加密。
創(chuàng)建ECS實例時
創(chuàng)建云盤時
同樣����,基于加密數(shù)據(jù)盤創(chuàng)建出來的其他資源也都是加密的。
總結(jié):找到并且勾選“加密”����,隨后選擇用于加密的CMK。
小結(jié)和最佳實踐
本文探討了ECS工作負載的保護需求���,并且介紹了如何利用KMS對其一鍵保護�����。雖然本文以保護敏感的“企業(yè)機密”和“個人隱私”為切入介紹了其必要性�����,實際的生產(chǎn)部署中���,需要保護的機密信息類型更加廣泛�。
長期的安全研究指向以下兩個結(jié)論:
實際的生產(chǎn)環(huán)境部署中�,幾乎所有的應用都會涉及到某種類型的機密信息�����,尤其是廣泛存在的訪問密鑰�����、口令���、證書等
“預發(fā)布”環(huán)境或者測試環(huán)境的部署中�����,往往包含了一些可以推導生產(chǎn)環(huán)境機密信息的其他信息
因此在越來越多的企業(yè)生產(chǎn)實踐中�����,逐步傾向于制定和實施一種默認加密的安全策略���,對工作負載涉及到的敏感信息進行保護����,而基于KMS的ECS透明加密正是為了滿足這一需求量身定制����,讓您可以高效、低成本的構(gòu)建安全的云上計算環(huán)境����。
參考資料
阿里云官網(wǎng)用戶指南:
ECS云盤加密
云產(chǎn)品集成KMS透明加密
立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于阿里云���,本站不擁有所有權(quán)�,不承擔相關(guān)法律責任�����。文章內(nèi)容系作者個人觀點�����,不代表快出海對觀點贊同或支持����。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號
