全部产品
Search

搜索本产品

    Cloud Parallel File Storage:Enkripsi data

    文档中心

    Cloud Parallel File Storage:Enkripsi data

    更新时间:Dec 31, 2025

    CPFS Edisi Serbaguna mendukung server-side encryption dan encryption in transit untuk melindungi data Anda sepanjang siklus hidupnya.

    • Server-side encryption: Melindungi data at rest dan mencegah kebocoran data akibat kehilangan atau pencurian disk fisik.

    • Encryption in transit: Melindungi data dalam transit dan mencegah penyadapan atau perubahan selama transmisi jaringan.

    Cara kerja

    • Server-side encryption

      Server-side encryption menggunakan mekanisme enkripsi amplop standar industri yang diimplementasikan melalui Alibaba Cloud Key Management Service (KMS). Sistem menghasilkan kunci enkripsi data (DEK) unik untuk setiap sistem file dan menggunakan algoritma AES-256 untuk mengenkripsi data Anda. DEK dilindungi oleh customer master key (CMK) yang Anda tentukan di KMS. Proses ini transparan bagi Anda, menjamin keamanan data sekaligus mempertahankan performa baca-tulis tinggi melalui mekanisme caching DEK.

    • Encryption in transit

      Encryption in transit menyediakan transmisi data aman end-to-end menggunakan perangkat lunak open source Stunnel. Saat Anda memasang sistem file, tool client CPFS (aliyun-alinas-utils) menjalankan proses proxy Stunnel pada instans ECS. Proses ini membungkus seluruh traffic NFS dalam saluran data terenkripsi TLS untuk transmisi, sehingga secara efektif mencegah penyadapan atau modifikasi data melalui jaringan.

    Pilih solusi enkripsi

    Untuk bisnis dengan persyaratan keamanan tertinggi, Anda dapat mengaktifkan server-side encryption dan encryption in transit secara bersamaan guna mendapatkan perlindungan data end-to-end.

    Dimensi Perbandingan

    Server-side encryption

    Encryption in transit

    Nilai inti

    Melindungi keamanan data at rest dan mencegah kebocoran data dari media fisik.

    Melindungi keamanan data in transit dan mencegah penyadapan jaringan.

    Skenario

    • Data harus memenuhi persyaratan keamanan dan audit kepatuhan tertentu.

    • Data bisnis sangat sensitif dan memerlukan perlindungan terhadap risiko pelanggaran fisik.

    • Data ditransmisikan melalui jaringan publik atau jaringan yang tidak tepercaya.

    • Memenuhi persyaratan keamanan regulasi seperti MLPS dan GDPR untuk tautan transmisi.

    Dampak performa

    Operasi input/output per detik (IOPS) dan throughput mungkin sedikit menurun. Overhead CPU meningkat dalam jumlah kecil.

    Terjadi penurunan performa sekitar 10%. Latensi akses meningkat 10% dan IOPS menurun 10%.

    Untuk aplikasi yang intensif throughput, proses Stunnel untuk setiap titik pemasangan mungkin menduduki satu core CPU penuh dalam kasus ekstrem. Sediakan sumber daya CPU yang cukup berdasarkan workload bisnis Anda.

    Biaya

    Gratis

    Kompleksitas manajemen

    Konfigurasi sekali saat pembuatan.

    Jika kunci kustom secara tidak sengaja dihapus, data akan hilang permanen dan tidak dapat dipulihkan.

    Memerlukan instalasi dan maintenance client. Anda juga harus memantau periode validitas sertifikat.

    Sertifikat klien yang kedaluwarsa menyebabkan sistem file berhenti merespons.

    Konfigurasikan server-side encryption

    Anda hanya dapat mengonfigurasi server-side encryption saat membuat sistem file. Setelah sistem file dibuat, Anda tidak dapat menonaktifkan enkripsi atau mengubah kunci terkait. Mengaktifkan enkripsi memiliki dampak kecil terhadap performa; IOPS dan throughput mungkin sedikit menurun.

    Langkah 1: Pilih metode manajemen kunci

    Pilih metode manajemen kunci berdasarkan persyaratan keamanan dan kepatuhan Anda:

    • Service-managed key: Layanan CPFS membuat dan mengelola kunci untuk Anda. Anda tidak perlu mengelola siklus hidup kunci dan hanya memiliki izin audit. Metode ini gratis, mudah dikelola, serta cocok untuk skenario keamanan umum.

    • Custom Key (KMS): Anda dapat menggunakan kunci yang Anda kelola di KMS untuk mengenkripsi sistem file. Anda memiliki izin manajemen siklus hidup penuh atas kunci tersebut, termasuk pembuatan, pengaktifan, penonaktifan, rotasi, dan penghapusan. Metode ini cocok untuk skenario dengan persyaratan kepatuhan ketat atau ketika Anda memerlukan kontrol penuh atas kunci Anda. Dua sumber kunci didukung:

      • Kunci yang dibuat di KMS: Buat customer master key (CMK) di konsol KMS.

      • Bring-Your-Own-Key (BYOK): Impor kunci yang dihasilkan eksternal ke KMS.

      Jika Anda memilih Custom Key, Anda harus terlebih dahulu membuat atau mengimpor customer master key (CMK) di konsol Key Management Service.

    Langkah 2: Buat sistem file terenkripsi

    1. Masuk ke CPFS console dan buka halaman pembuatan sistem file.

    2. Untuk parameter Encryption Type, pilih Service-managed key atau Custom Key (KMS).

    3. Jika Anda memilih Custom Key (KMS), pilih kunci kustom yang telah Anda buat dari daftar drop-down Key ID.

      Pertama kali menggunakan fitur ini, sistem akan memandu Anda membuat service-linked role untuk memberikan akses CPFS ke sumber daya KMS Anda.

    4. Konfigurasikan parameter lainnya lalu buat sistem file.

    Langkah 3: Verifikasi konfigurasi enkripsi

    Setelah sistem file dibuat, periksa status di kolom Encryption pada daftar sistem file untuk memastikan enkripsi telah diaktifkan.

    Semua data yang ditulis ke sistem file kini secara otomatis dienkripsi saat disimpan.

    Konfigurasikan encryption in transit

    Anda dapat menerapkan encryption in transit dengan menambahkan parameter tertentu saat memasang sistem file. Fitur ini melindungi traffic NFS selama transmisi jaringan.

    Prasyarat

    Langkah 1: Instal client CPFS-NFS

    1. Masuk ke instans ECS tempat Anda ingin memasang sistem file CPFS. Untuk informasi lebih lanjut, lihat Pilih metode untuk menghubungkan ke instans ECS.

    2. Unduh dan instal client CPFS-NFS.

      Alibaba Cloud Linux

      1. Unduh client CPFS-NFS.

        wget https://cpfs-hangzhou-nfs-client.oss-cn-hangzhou.aliyuncs.com/aliyun-alinas-utils-latest.al.noarch.rpm

      2. Instal client CPFS-NFS.

        sudo yum install aliyun-alinas-utils-*.rpm
      CentOS

      1. Unduh client CPFS-NFS.

        wget https://cpfs-hangzhou-nfs-client.oss-cn-hangzhou.aliyuncs.com/aliyun-alinas-utils-latest.el.noarch.rpm

      2. Instal client CPFS-NFS.

        sudo yum install aliyun-alinas-utils-*.rpm
      Ubuntu

      1. Unduh client CPFS-NFS.

        sudo wget https://cpfs-hangzhou-nfs-client.oss-cn-hangzhou.aliyuncs.com/aliyun-alinas-utils-latest.deb -O /tmp/aliyun-alinas-utils-latest.deb

      2. Instal client CPFS-NFS.

        sudo apt-get update
sudo apt-get install /tmp/aliyun-alinas-utils-latest.deb
      Debian

      1. Unduh client CPFS-NFS.

        sudo wget https://cpfs-hangzhou-nfs-client.oss-cn-hangzhou.aliyuncs.com/aliyun-alinas-utils-latest.deb -O /tmp/aliyun-alinas-utils-latest.deb

      2. Instal client CPFS-NFS.

        sudo apt-get update
sudo apt-get install /tmp/aliyun-alinas-utils-latest.deb
      SUSE

      1. Unduh client CPFS-NFS.

        wget https://cpfs-hangzhou-nfs-client.oss-cn-hangzhou.aliyuncs.com/aliyun-alinas-utils-latest.lp15.x86_64.rpm

      2. Instal client CPFS-NFS.

        sudo zypper --no-gpg-checks install -y aliyun-alinas-utils-*.rpm

    3. Verifikasi instalasi client CPFS-NFS.

      which mount.cpfs-nfs

      Berikut contoh respons sukses:

      /usr/sbin/mount.cpfs-nfs

    Langkah 2: Pasang sistem file dengan encryption in transit diaktifkan

    Saat Anda mengaktifkan encryption in transit, jika sistem file NFS sudah dipasang ke direktori target pada instans ECS Anda, misalnya /mnt, Anda harus terlebih dahulu melepas pemasangan sistem file NFS. Kemudian, Anda dapat memasang ulang sistem file NFS seperti yang dijelaskan dalam topik ini.

    Untuk mengaktifkan encryption in transit, tambahkan parameter -o tls ke perintah mount standar. Saat Anda memasang sistem file, tool client CPFS secara otomatis menulis pemetaan titik pemasangan ke file /etc/hosts. Pemetaan tersebut dihapus saat Anda melepas pemasangan sistem file.

    # Contoh: Pasang dengan encryption in transit diaktifkan
sudo mount -t cpfs-nfs -o tls,vers=3,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.region.cpfs.aliyuncs.com:/share/path /mnt

    • -o tls: Wajib. Mengaktifkan encryption in transit.

    • vers=3: Menggunakan protokol NFSv3 untuk kompatibilitas lebih baik.

    • rsize=1048576,wsize=1048576: Menetapkan ukuran blok baca dan tulis menjadi 1 MB untuk mengoptimalkan performa transmisi.

    • hard: Menggunakan mode mount hard untuk memastikan konsistensi data.

    Untuk informasi selengkapnya mengenai parameter mount, lihat Pasang sistem file menggunakan client CPFS-NFS (Direkomendasikan).

    Langkah 3: Verifikasi bahwa enkripsi telah diaktifkan

    Setelah sistem file dipasang, periksa proses Stunnel dan konektivitas jaringan untuk memverifikasi bahwa enkripsi telah diaktifkan.

    1. Periksa proses Stunnel: Verifikasi bahwa proses proxy Stunnel sedang berjalan.

      ps aux | grep stunnel

    2. Periksa koneksi jaringan: Verifikasi bahwa Stunnel telah membuat koneksi terenkripsi ke sisi server CPFS.

      netstat -anp | grep stunnel

      Anda seharusnya melihat bahwa proses stunnel telah membuat koneksi dengan sisi server CPFS pada port 12049.

    Setelah verifikasi, semua operasi baca dan tulis pada direktori yang dipasang dilakukan melalui saluran data terenkripsi.

    Kuota dan batasan

    • Batasan server-side encryption

      • Konfigurasi saat pembuatan: Anda harus mengonfigurasi enkripsi saat membuat sistem file. Anda tidak dapat mengaktifkan, menonaktifkan, atau mengubahnya setelah pembuatan.

      • Batasan algoritma: Hanya algoritma AES-256 yang didukung. Algoritma lain seperti SM4 tidak didukung.

    • Batasan encryption in transit

      • Dukungan sistem file: Hanya sistem file NFS CPFS Edisi Serbaguna yang didukung.

      • Penggunaan port jaringan: Proses Stunnel menggunakan port lokal 12049 secara default. Pastikan port ini tidak digunakan oleh aplikasi lain.

        Anda dapat menjalankan perintah ss -ant | grep -w 12049 untuk memeriksa apakah port tujuan sedang digunakan. Jika perintah mengembalikan hasil kosong, port tersebut tidak digunakan. Jika port sedang digunakan, Anda dapat mengubahnya dengan memodifikasi file konfigurasi.

      • Penggunaan alamat IP lokal: Setiap titik pemasangan dengan encryption in transit diaktifkan menempati alamat IP dalam rentang 127.0.1.1 hingga 127.0.255.254 secara berurutan. Alamat IP dilepas setelah pelepasan pemasangan. Anda dapat menjalankan cat /etc/hosts untuk melihat penggunaan saat ini.

      • Mode pemasangan saling eksklusif: Anda tidak dapat memasang titik pemasangan sistem file yang sama pada client yang sama menggunakan mode terenkripsi (TLS) dan tidak terenkripsi secara bersamaan. Untuk mengganti mode, Anda harus terlebih dahulu melepas pemasangan titik pemasangan yang ada.

      • Sistem operasi yang didukung: Hanya versi sistem operasi 64-bit berikut yang didukung.

        Jenis sistem operasi

        Versi sistem operasi

        Alibaba Cloud Linux

        • Alibaba Cloud Linux 3.2104 64-bit

        • Alibaba Cloud Linux 2.1903 64-bit

        CentOS

        • CentOS 8.x 64-bit

        • CentOS 7.x 64-bit

        Ubuntu

        • Ubuntu 20.04 64-bit

        • Ubuntu 18.04 64-bit

        • Ubuntu 16.04 64-bit

        Debian

        • Debian 10.x 64-bit

        • Debian 9.x 64-bit

        • Debian 8.x 64-bit

        SUSE

        • SUSE Linux Enterprise Server 15 64-bit

    Pemecahan masalah dan log

    Log client terkait encryption in transit berada di direktori /var/log/aliyun/alinas/. Anda dapat menyesuaikan konfigurasi log dengan memodifikasi file /etc/aliyun/alinas/alinas-utils.conf:

    Parameter

    Deskripsi

    Nilai default

    logging_level

    Tingkat log tool client.

    INFO

    logging_max_bytes

    Ukuran maksimum file log tunggal.

    1048576 (1 MB)

    logging_file_count

    Jumlah maksimum file log yang disimpan.

    10

    stunnel_debug_enabled

    Saklar untuk log debug Stunnel. Jika diaktifkan, informasi proses jabat tangan TLS yang lebih detail akan ditampilkan.

    false

    stunnel_check_cert_hostname

    Menentukan apakah akan memeriksa hostname sertifikat sisi server. Atur ke true di lingkungan produksi.

    false

    stunnel_check_cert_validity

    Menentukan apakah akan memeriksa periode validitas dan penerbit sertifikat sisi server. Atur ke true di lingkungan produksi.

    false

    Setelah Anda memodifikasi konfigurasi, jalankan perintah berikut untuk merestart layanan:

    sudo service aliyun-alinas-mount-watchdog restart

    Penggunaan di lingkungan produksi

    • Risiko manajemen kunci (server-side encryption)
      Jika Anda menggunakan kunci kustom, Anda harus menerapkan proses manajemen kunci yang ketat. Jika kunci dinonaktifkan atau dihapus, Anda tidak dapat lagi membaca atau menulis data ke sistem file terenkripsi, dan data tidak dapat dipulihkan. Aktifkan fitur perlindungan penghapusan untuk kunci di KMS.

    • Manajemen sertifikat (encryption in transit)

      Fitur encryption in transit dari client CPFS bergantung pada sertifikat pihak ketiga yang harus diganti secara berkala. CPFS mengirim notifikasi melalui email dan pesan internal satu bulan sebelumnya. Ikuti petunjuk dalam notifikasi dan segera perbarui tool client CPFS aliyun-alinas-utils ke versi terbaru. Jika Anda tidak memperbarui tool client, sistem file CPFS yang dipasang dengan encryption in transit akan berhenti merespons setelah sertifikat kedaluwarsa.

    FAQ

    T: Dapatkah saya mengakses data saya setelah kunci untuk server-side encryption dinonaktifkan atau dihapus? 

    Tidak, Anda tidak bisa. Jika Anda menggunakan kunci kustom, Anda tidak dapat lagi membaca atau menulis data ke sistem file terenkripsi setelah kunci dinonaktifkan atau dihapus. Lakukan dengan hati-hati.

    T: Jika saya mengaktifkan server-side encryption tipe at-rest encryption untuk sistem file, apakah kapasitas penyimpanan efektif akan berkurang?

    Tidak, tidak akan berkurang. AES adalah cipher blok yang menggunakan mekanisme padding otomatis. Data yang ditambahkan oleh padding otomatis untuk enkripsi at rest tidak dihitung terhadap kapasitas penyimpanan efektif sistem file.

    T: Apakah server-side encryption mendukung algoritma SM4?

    Tidak, tidak mendukung. Enkripsi sisi server CPFS menggunakan algoritma enkripsi AES-256 standar industri untuk melindungi data at rest dalam sistem file. Fitur ini juga menggunakan mekanisme enkripsi amplop untuk mencegah akses data tidak sah. Kunci enkripsi sisi server dihasilkan dan dikelola oleh KMS. KMS menjamin kerahasiaan, integritas, dan ketersediaan kunci. Untuk informasi lebih lanjut tentang enkripsi, lihat Gunakan enkripsi amplop dengan KMS untuk mengenkripsi dan mendekripsi data secara lokal.

    T: Saya menerima pesan error "The mountpoint <mountpoint> is already mounted with tls/non-tls, mixing tls and non-tls is not supported in this version" saat memasang sistem file dengan encryption in transit. Apa yang harus saya lakukan?

    Penyebab: Titik pemasangan yang sama tidak dapat digunakan untuk pemasangan terenkripsi (TLS) dan tidak terenkripsi (non-TLS) secara bersamaan. Client melaporkan error dan menghentikan operasi pemasangan saat mendeteksi operasi pemasangan campuran.

    Solusi: Jalankan perintah umount untuk melepas pemasangan titik pemasangan saat ini. Kemudian, pilih mode TLS atau non-TLS dan jalankan perintah mount lagi.

    T: Saya menerima pesan error "Cannot mount with tls/non-tls now, please wait <sec> seconds for the unmount to complete" saat memasang sistem file dengan encryption in transit. Apa yang harus saya lakukan?

    Penyebab: Saat Anda beralih antara mode terenkripsi dan tidak terenkripsi, sistem memerlukan periode tenggang untuk menyelesaikan proses pelepasan pemasangan sebelum dapat dipasang ulang. Error ini terjadi jika interval antar pergantian terlalu singkat.

    Solusi:

    1. Tunggu jumlah detik yang ditentukan dalam pesan error, lalu jalankan perintah mount lagi.

    2. Anda juga dapat menyesuaikan durasi periode tenggang pelepasan pemasangan dengan mengonfigurasi parameter unmount_grace_period_sec. Untuk informasi lebih lanjut tentang metode konfigurasi, lihat Detail konfigurasi parameter client CPFS.