Elastic Compute Service：Enkripsi disk cloud

Cara kerja enkripsi dan dekripsi

Disk cloud terenkripsi menggunakan sistem kunci dua tingkat untuk mengamankan data Anda:

• Data key: Digunakan untuk mengenkripsi dan mendekripsi data pada disk cloud.

• KMS key: Disimpan di KMS dan digunakan untuk mengenkripsi serta mendekripsi data key.

Saat membuat disk cloud terenkripsi, sebuah data key yang telah dienkripsi oleh KMS key disimpan bersama disk tersebut. Ketika instans dimulai, ECS meminta KMS untuk mendekripsi data key tersebut, lalu memuatnya dalam bentuk teks biasa ke dalam memori guna mengenkripsi dan mendekripsi data.

Membuat disk cloud terenkripsi

1. Buat disk cloud terenkripsi.

   Penting

   Enkripsi bersifat ireversibel. Setelah dienkripsi, disk cloud tidak dapat dikonversi kembali ke keadaan tidak terenkripsi.

   Console

   Saat membuat disk cloud, pilih kotak centang Encryption, lalu pilih kunci dari daftar drop-down kunci KMS. KMS menyediakan dua jenis kunci:

   • Service key: Kunci yang secara otomatis dibuat dan dikelola oleh layanan cloud untuk ECS. Alias kuncinya adalah alias/acs/ecs. Service key mudah digunakan, memenuhi kebutuhan enkripsi dasar, dan tidak memerlukan manajemen siklus hidup kunci.

   • Customer master key (CMK): Kunci yang Anda buat di KMS atau impor ke KMS, memberikan kontrol penuh. CMK cocok untuk skenario dengan persyaratan keamanan data tinggi di mana Anda perlu mengelola siklus hidup kunci, termasuk rotasi kunci, penonaktifan, dan penghapusan.

   Saat pertama kali memilih CMK untuk enkripsi, ikuti petunjuk di layar untuk memberikan peran AliyunECSDiskEncryptDefaultRole kepada ECS. Peran ini memungkinkan ECS mengakses sumber daya KMS.

   

   API

   • Enkripsi disk sistem dan disk data saat membuat instans ECS.

     Panggil operasi RunInstances untuk membuat instans ECS. Atur parameter Encrypted dan KMSKeyId untuk disk sistem atau disk data agar dienkripsi.

   • Buat disk data terenkripsi secara terpisah.

     Panggil operasi CreateDisk untuk membuat disk data. Atur parameter Encrypted dan KMSKeyId untuk mengenkripsi disk tersebut.

2. Langkah selanjutnya.

   • System disk: Siap digunakan.

   • Data disk:

     • Dibuat bersama instans:

       • Windows: Siap digunakan.

       • Linux: Anda harus menginisialisasi disk sebelum menggunakannya.

     • Dibuat secara terpisah: Anda harus menyambungkan disk ke instans ECS lalu menginisialisasi disk sebelum menggunakannya.

Mengonversi disk cloud tidak terenkripsi menjadi terenkripsi

Anda tidak dapat langsung mengenkripsi disk cloud yang sudah ada dan tidak terenkripsi. Sebagai gantinya, gunakan custom image terenkripsi atau snapshot terenkripsi—yang dapat dicapai secara tidak langsung dengan mengganti sistem operasi atau membuat disk cloud baru.

• System disk

  1. Buat custom image dari instans target.

  2. Salin custom image tersebut dan pilih opsi enkripsi untuk membuat salinan terenkripsi.

  3. Pilih salah satu metode berikut untuk membuat disk sistem terenkripsi:

     • Ganti sistem operasi instans ECS asli dengan menggunakan image terenkripsi tersebut.

     • Buat instans baru dari image terenkripsi tersebut.

• Data disk

  1. Buat snapshot secara manual untuk disk data tersebut.

  2. Salin snapshot tersebut untuk membuat snapshot terenkripsi.

  3. Buat disk data baru dari snapshot terenkripsi tersebut.

  4. Sambungkan disk cloud terenkripsi yang baru dibuat ke instans ECS asli.

Penerapan di lingkungan produksi

• Jangan menghapus atau menonaktifkan kunci tanpa alasan

  Jika Anda menghapus atau menonaktifkan kunci, semua sumber daya terenkripsi yang bergantung padanya—seperti disk cloud, snapshot, dan image—tidak dapat didekripsi. Hal ini dapat menyebabkan kehilangan data yang tidak dapat dipulihkan. Sebelum melanjutkan, periksa apakah ada sumber daya yang terkait dengan kunci tersebut.

  Penting

  Anda bertanggung jawab atas kehilangan data yang disebabkan oleh penonaktifan atau penghapusan kunci.

• Batasi pengguna RAM agar hanya dapat membuat disk cloud terenkripsi

  Untuk memenuhi persyaratan keamanan dan kepatuhan tertentu serta mencegah kebocoran data dari disk cloud yang tidak terenkripsi, Anda dapat mengonfigurasi kebijakan kustom untuk pengguna Resource Access Management (RAM). Kebijakan ini dapat membatasi mereka agar hanya dapat membuat disk cloud terenkripsi guna melindungi kerahasiaan data.

• Cegah pengguna RAM mengelola kunci

  Untuk mencegah penghapusan atau penonaktifan kunci secara tidak sengaja, berikan izin read-only kepada pengguna RAM untuk KMS dengan melampirkan kebijakan AliyunKMSReadOnlyAccess.

• Enkripsi disk sistem yang sudah ada secara batch

  Anda dapat menggunakan templat publik OOS ACS-ECS-BulkyEncryptSystemDisk untuk mengenkripsi disk sistem instans ECS dengan mengganti sistem operasinya.

Penagihan

• Biaya disk cloud: Disk cloud terenkripsi dan tidak terenkripsi dikenai biaya berdasarkan aturan yang sama. Fitur enkripsi itu sendiri tidak dikenai biaya tambahan. Untuk informasi lebih lanjut, lihat Penagihan Block Storage.

• Biaya kunci: Penggunaan kunci tidak dikenai biaya.

Kuota dan keterbatasan

• Tipe instans

  Saat Anda mengenkripsi disk sistem atau membuat disk data terenkripsi dari snapshot, Anda tidak dapat menyambungkan disk tersebut ke tipe instans berikut: ecs.ebmg5, ecs.ebmgn5t, ecs.ebmi3, ecs.sccg5, ecs.scch5, ecs.ebmc4, dan ecs.ebmhfg5.

• Tipe disk cloud

  Saat Anda mengenkripsi disk sistem atau membuat disk data terenkripsi dari snapshot, Anda hanya dapat mengenkripsi disk cloud seri Enterprise SSD (ESSD). Ini mencakup ESSD, ESSD Entry disk, ESSD AutoPL disk, dan Regional ESSD.

• Wilayah

  • Wilayah tempat Anda tidak dapat membuat disk cloud terenkripsi: Tiongkok (Nanjing - Local Region - Ditutup), Korea Selatan (Seoul).

  • Wilayah tempat Anda tidak dapat menggunakan CMK: Tiongkok (Fuzhou - Local Region - Ditutup), Thailand (Bangkok).

FAQ

Bagaimana saya dapat menguji dan memverifikasi bahwa disk cloud ECS saya benar-benar terenkripsi?

Anda dapat memverifikasi bahwa data dienkripsi saat tidak aktif (at rest) dengan sementara menonaktifkan KMS key yang terkait. Jika disk tersebut terenkripsi, instans tidak akan dapat mendekripsi datanya, sehingga menyebabkan I/O hang. Hal ini mengonfirmasi bahwa enkripsi aktif.

1. Saat membeli instans uji, buat disk sistem yang dienkripsi dengan CMK.

2. Nonaktifkan CMK tersebut.

   1. Login ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi kiri, pilih Resource > Keys.

   2. Di tab Customer Master Keys atau Default Keys, temukan kunci target lalu klik Actions di kolom Disable.

   3. Di kotak dialog Disable Key, konfirmasi tindakan tersebut lalu klik Confirm.

      Penting

      Sebelum menonaktifkan CMK, periksa apakah ada sumber daya cloud yang terkait untuk menghindari gangguan layanan.

3. Verifikasi enkripsi.

   Setelah Anda terhubung ke instans ECS, jalankan perintah sudo reboot untuk me-restart sistem operasi. Karena KMS key yang terkait dengan disk sistem terenkripsi dinonaktifkan, sistem tidak dapat mendekripsi data. Hal ini menyebabkan I/O hang. Jika Anda kemudian terhubung ke instans ECS menggunakan VNC, layar hitam akan muncul, yang membuktikan bahwa data tersebut dienkripsi.

4. Aktifkan kembali CMK tersebut dan lepaskan instans uji.

Referensi

• Untuk informasi lebih lanjut tentang kunci KMS, lihat Jenis kunci yang mendukung enkripsi layanan cloud.

• Untuk informasi lebih lanjut tentang cara kerja enkripsi, lihat Ikhtisar integrasi KMS untuk enkripsi layanan cloud.