All Products
Search
Document Center

Elastic Compute Service:Pastikan keamanan data

Last Updated:Apr 28, 2026

Lindungi data pada instans ECS melalui verifikasi integritas, enkripsi untuk kerahasiaan, dan pencadangan untuk ketersediaan.

Integritas data

Integritas data mencegah perubahan tidak sengaja atau berbahaya selama transmisi dan penyimpanan.

ECS menggunakan penyimpanan triplikat untuk keandalan, penghapusan data aman untuk penghapusan lengkap, dan Cyclic Redundancy Check (CRC) guna perlindungan data end-to-end.

  • Penyimpanan triplikat

    • Deskripsi fitur: Data cloud disk direplikasi menjadi tiga salinan chunk yang disimpan di node data berbeda dalam kluster penyimpanan. Hal ini menjamin keandalan dan stabilitas data selama operasi baca dan tulis. Lihat Keandalan data cloud disk ESSD.

    • Metode konfigurasi: Secara default, cloud disk mendukung fitur ini.

  • Mekanisme penghapusan data

    • Deskripsi fitur: Data yang dihapus dalam sistem penyimpanan blok terdistribusi dihapus sepenuhnya dan tidak dapat diakses atau dipulihkan.

      • Cloud disk menggunakan penulisan append secara sekuensial di lapisan dasar. Desain ini memanfaatkan bandwidth tinggi dan latensi rendah dari penulisan sekuensial pada disk fisik. Karena fitur append-write, operasi penghapusan ruang logis pada cloud disk hanya dicatat sebagai metadata. Jika Anda mencoba membaca dari ruang logis tersebut, sistem penyimpanan akan mengembalikan nilai nol. Demikian pula, menimpa ruang logis tidak langsung menimpa ruang yang sesuai pada disk fisik. Sebagai gantinya, sistem penyimpanan memodifikasi pemetaan antara ruang logis dan fisik untuk melakukan penimpaan. Hal ini memastikan bahwa data asli tidak dapat dibaca. Data sisa pada disk fisik akibat operasi penghapusan atau penimpaan kemudian dihapus secara permanen.

      • Saat Anda melepas perangkat blok, seperti cloud disk, sistem penyimpanan segera menghancurkan metadatanya sehingga data menjadi tidak dapat diakses. Ruang penyimpanan fisik yang sebelumnya ditempati cloud disk juga diklaim kembali. Ruang fisik tersebut dibersihkan sebelum dialokasikan ulang. Semua cloud disk yang baru dibuat akan mengembalikan nilai nol untuk semua operasi baca sebelum penulisan pertama dilakukan.

    • Metode konfigurasi: Secara default, cloud disk mendukung fitur ini.

  • CRC

    • Deskripsi fitur: Cloud disk mendukung CRC untuk verifikasi data end-to-end selama transmisi dan penyimpanan:

      • CRC full-link dilakukan pada semua operasi baca dan tulis.

      • Sistem penyimpanan blok secara berkala melakukan pemeriksaan CRC dan redundansi pada media persisten.

    • Metode konfigurasi: Secara default, cloud disk mendukung fitur ini.

Kerahasiaan data

Enkripsi mencegah akses dan pengungkapan yang tidak sah. Bahkan jika data dicegat selama transmisi atau diakses secara ilegal saat disimpan, isinya tidak dapat didekripsi.

ECS menjamin kerahasiaan data di lingkungan penyimpanan, transmisi jaringan, dan komputasi.

Enkripsi penyimpanan

  • Enkripsi disk

    • Deskripsi fitur: Aktifkan encryption saat membuat disk sistem atau disk data. Data secara otomatis dienkripsi saat ditulis dan didekripsi saat dibaca, secara transparan terhadap sistem operasi. Tidak diperlukan infrastruktur manajemen kunci. Enkripsi disk melindungi privasi data dan menyediakan batas aman bagi data bisnis.

    • Metode konfigurasi: Lihat Ikhtisar enkripsi cloud disk.

    Penting

    Untuk perusahaan dengan persyaratan kepatuhan keamanan tinggi, ECS memungkinkan Anda mengonfigurasi kebijakan kustom agar Pengguna RAM hanya dapat membuat disk terenkripsi. Lihat bagian Batasi pembuatan cloud disk tanpa enkripsi pada topik "Kebijakan kustom untuk ECS".

  • Enkripsi snapshot

    Snapshot dari cloud disk terenkripsi (disk sistem dan disk data) mewarisi atribut enkripsi disk tersebut. Data snapshot tetap terenkripsi selama penyimpanan, transmisi, copy cross-region, dan pemulihan disk.

  • Enkripsi image

    Enkripsi image melindungi data yang disimpan dalam image dari akses tidak sah. Bahkan jika pengguna yang tidak sah mengakses data image tersebut, data tersebut tidak dapat dibaca atau didekripsi. Buat image terenkripsi dari instans dengan disk sistem terenkripsi, dari snapshot terenkripsi, atau dengan menyalin image tanpa enkripsi menjadi image terenkripsi.

Enkripsi transmisi jaringan

ECS mendukung beberapa metode untuk mengenkripsi data dalam perjalanan: akses metadata dalam mode penguatan keamanan, VPN Gateway untuk konektivitas aman, dan HTTPS untuk akses resource ECS.

  • Akses metadata instans dalam mode penguatan keamanan

    • Deskripsi fitur: Dalam mode normal, Metadata Service mengembalikan metadata instans tanpa otentikasi. Jika metadata berisi informasi sensitif, informasi tersebut dapat disadap atau bocor. Kerentanan server-side request forgery (SSRF) memungkinkan penyerang memperoleh token Security Token Service (STS) dari Metadata Service, menimbulkan risiko serupa dengan kebocoran AccessKey. Mode penguatan keamanan mengurangi serangan SSRF dengan mewajibkan otentikasi berbasis token untuk akses metadata.

    • Metode konfigurasi: Pilih mode penguatan keamanan untuk mengakses Metadata Service. Lihat Metadata instans.

  • Akses aman dengan VPN Gateway

    • Deskripsi fitur: VPN Gateway (VPN) membuat saluran data terenkripsi antara jaringan on-premises, jaringan kantor, atau klien Internet dengan lingkungan Alibaba Cloud Virtual Private Cloud (VPC). Layanan ini mendukung dua metode koneksi: IPsec-VPN dan SSL-VPN. Data dienkripsi menggunakan protokol Internet Key Exchange (IKE) dan IPsec.

      • IPsec-VPN: Setiap paket data dienkripsi oleh IPsec sebelum transmisi. IPsec menyediakan enkripsi dan otentikasi data untuk menjamin integritas data.

      • SSL-VPN: Sertifikat klien SSL diinstal pada klien untuk membuat koneksi terenkripsi ke gateway VPN. SSL mengenkripsi traffic untuk perlindungan data, otentikasi identitas, dan integritas data.

      Lihat Apa itu VPN Gateway?

    • Metode konfigurasi: Secara default, fitur ini didukung.

  • Akses resource ECS dengan HTTPS

    Penting

    Alibaba Cloud menyediakan kunci kondisi acs:SecureTransport. Konfigurasikan kebijakan kustom yang mereferensikan kunci kondisi ini dan lampirkan ke Pengguna RAM untuk membatasi akses resource ECS hanya melalui HTTPS. Lihat Kebijakan kustom.

Lingkungan komputasi runtime

  • Deskripsi fitur: Instans ECS yang dioptimalkan untuk komputasi dan keamanan menggunakan teknik seperti enkripsi perangkat keras, isolasi, dan kemampuan audit untuk menyediakan lingkungan komputasi yang aman dan terisolasi. Tipe instans ini mendukung enkripsi memori host, trusted computing, dan confidential computing. Lihat Ikhtisar kemampuan keamanan.

  • Metode konfigurasi: Lihat Trusted computing, Komputasi rahasia, dan Praktik terbaik.

Ketersediaan data

  • Deskripsi fitur: Ketersediaan data menjaga data agar tetap lengkap, konsisten, dan akurat sepanjang siklus hidupnya. ECS mendukung pencadangan berbasis snapshot, pencadangan berbasis image, pemulihan partisi disk data, dan penerapan multi-zona untuk pemulihan bencana.

  • Metode konfigurasi: Lihat Solusi pemulihan bencana ECS.