Dipicu oleh persyaratan keamanan data dan kepatuhan yang ketat, perlindungan terhadap data inti pengguna cloud telah menjadi krusial untuk menjamin kelangsungan bisnis. Enkripsi traffic VPC memanfaatkan offloading enkripsi berbasis perangkat keras Cloud Infrastructure Processing Unit (CIPU) dan menggunakan chip khusus untuk secara otomatis mengenkripsi seluruh traffic pada lapisan bawah tumpukan protokol jaringan. Pendekatan ini melindungi dari serangan jaringan pada lapisan fisik dan pembajakan traffic host tanpa memengaruhi kinerja bisnis. Fitur ini memenuhi kebutuhan enkripsi berkekuatan tinggi dalam skenario sensitif seperti transaksi keuangan dan transmisi data medis.
Apa itu enkripsi traffic VPC
Fitur enkripsi traffic VPC saat ini berada dalam pratinjau undangan. Untuk menggunakannya, submit a ticket untuk meminta akses.
Enkripsi traffic VPC memanfaatkan kemampuan offloading perangkat keras CIPU dan menggunakan algoritma AES-GCM-256 untuk secara transparan dan otomatis mengenkripsi serta mendekripsi traffic jaringan pribadi antar instans ECS. Dikombinasikan dengan manajemen siklus hidup kunci terpusat dari Key Management Service (KMS), fitur ini memastikan bahwa data yang ditransmisikan tidak dapat didekripsi, sekaligus tetap transparan bagi bisnis Anda. Dampak enkripsi terhadap kinerja berada pada level sub-mikrodetik.
Setelah Anda mengaktifkan enkripsi traffic VPC, data dinamis dilindungi oleh enkripsi berkekuatan tinggi sepanjang transmisi. Bahkan jika penyerang mencegat datagram data melalui metode seperti pembajakan jaringan lapisan fisik, mereka tidak dapat mengurai konten aslinya karena kompleksitas komputasi algoritma enkripsi. Hal ini secara mendasar mencegah kebocoran informasi sensitif.
Anda dapat menggabungkan fitur ini dengan kemampuan keamanan lainnya, seperti komputasi rahasia dan enkripsi disk, guna menerapkan enkripsi end-to-end bagi bisnis Anda.
Skenario
Enkripsi traffic VPC memanfaatkan kemampuan tingkat chip untuk menyediakan keamanan transmisi berkinerja-tinggi dan transparan. Fitur ini cocok untuk berbagai skenario cloud yang memiliki persyaratan keamanan dan kinerja ketat, seperti berikut:
Perdagangan keuangan frekuensi tinggi: Perdagangan keuangan frekuensi tinggi dan pemrosesan pembayaran real-time memerlukan proteksi anti-pemalsuan yang ketat serta perlindungan terhadap penyadapan. Enkripsi traffic VPC menjamin keamanan data tanpa memengaruhi kinerja jaringan, sehingga memenuhi persyaratan ganda antara kinerja dan kepatuhan untuk layanan keuangan.
Manajemen informasi layanan kesehatan: Transmisi rekam medis elektronik dan data diagnosis harus mematuhi regulasi privasi seperti HIPAA. Enkripsi traffic VPC melindungi data pasien tanpa memengaruhi respons real-time sistem medis. Hal ini mengurangi risiko kepatuhan terkait kebocoran privasi.
Batasan
Batasan wilayah
Fitur enkripsi traffic VPC sedang diterapkan secara bertahap. Tabel berikut mencantumkan wilayah yang didukung:
Nama Wilayah | ID Wilayah |
China (Shanghai) | cn-shanghai |
China (Hong Kong) | cn-hongkong |
Batasan
Fitur ini didukung pada keluarga instans tertentu, termasuk g9ae, c9ae, r9ae, ebmg9ae, ebmc9ae, dan ebmr9ae.
CatatanTipe instans yang didukung berada dalam pratinjau undangan. Untuk menggunakannya, submit a ticket untuk meminta akses.
Enkripsi traffic VPC dinonaktifkan secara default untuk instans ECS. Anda dapat mengaktifkan atau menonaktifkannya saat membuat instans atau setelah instans dibuat.
Anda dapat memanggil operasi DescribeInstanceTypes untuk memeriksa apakah suatu tipe instans mendukung fitur ini. Jika nilai kembali NetworkEncryptionSupport adalah true, tipe instans tersebut didukung. Jika nilainya false, tipe instans tersebut tidak didukung.
Mengubah tipe instans dapat memengaruhi dukungan enkripsi traffic VPC. Pastikan status dukungan sebelum mengubah tipe instans.
Batasan cakupan enkripsi
Enkripsi hanya didukung antara instans ECS yang berada dalam VPC yang sama atau terhubung melalui jaringan pribadi lintas VPC berbeda di wilayah yang sama menggunakan koneksi peering VPC.
Traffic hanya dienkripsi ketika kedua instans yang berkomunikasi mendukung dan telah mengaktifkan enkripsi traffic VPC. Misalnya, jika salah satu instans menggunakan tipe instans yang tidak didukung atau enkripsinya dinonaktifkan, traffic antara kedua instans tersebut tidak dienkripsi.
Enkripsi cross-region tidak didukung. Enkripsi juga tidak didukung untuk traffic ke layanan Alibaba Cloud lainnya, seperti Server Load Balancer (SLB) dan NAT Gateway.
Mengaktifkan atau menonaktifkan enkripsi traffic VPC
Aktifkan atau nonaktifkan di Konsol
Mengaktifkan atau menonaktifkan saat membuat instans
Pada halaman pembuatan instans, ketika Anda memilih wilayah dan tipe instans yang mendukung enkripsi traffic VPC, Anda dapat mengaktifkan atau menonaktifkan enkripsi traffic.
Memodifikasi konfigurasi enkripsi traffic VPC pada instans yang sudah ada
Setelah instans dibuat, Anda dapat mengaktifkan atau menonaktifkan enkripsi traffic pada halaman detail instans.
Buka ECS console - Instances.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari resource yang ingin Anda kelola.
Temukan instans yang mendukung enkripsi traffic VPC dan klik ID-nya untuk membuka halaman detail instans. Di menu All Actions, pilih .
Pada kotak dialog Modify Instance Attributes, aktifkan atau nonaktifkan enkripsi traffic VPC sesuai kebutuhan.
Mengaktifkan atau menonaktifkan menggunakan API
Anda dapat memanggil operasi RunInstances untuk membuat instans dengan enkripsi traffic VPC yang diaktifkan atau dinonaktifkan. Atur parameter EnableNetworkEncryption dalam konfigurasi NetworkOptions ke true atau false.
Anda dapat memanggil operasi ModifyInstanceAttribute untuk memodifikasi konfigurasi enkripsi traffic VPC suatu instans. Atur parameter EnableNetworkEncryption ke true atau false untuk mengaktifkan atau menonaktifkan enkripsi traffic.
Anda dapat memanggil operasi DescribeInstanceAttribute untuk menanyakan konfigurasi enkripsi traffic VPC suatu instans. Nilai EnableNetworkEncryption yang dikembalikan menunjukkan apakah enkripsi traffic VPC diaktifkan untuk instans yang ditentukan.
Dalam cakupan enkripsi yang didukung, jika enkripsi traffic VPC diaktifkan untuk suatu instans ECS, seluruh traffic jaringan pribadi antar instans tersebut akan dienkripsi secara otomatis.