Object Storage Service (OSS) menyediakan enkripsi sisi server dan enkripsi sisi client, serta mendukung transmisi data terenkripsi melalui HTTPS menggunakan SSL/TLS. Fitur-fitur ini melindungi data Anda di cloud dari potensi risiko keamanan.
Enkripsi sisi server
OSS mendukung enkripsi sisi server untuk data yang Anda unggah. Saat mengunggah data, OSS mengenkripsinya sebelum menyimpannya. Saat Anda mengunduh data tersebut, OSS secara otomatis mendekripsinya dan mengembalikan data aslinya. Header respons HTTP juga menunjukkan bahwa data tersebut dienkripsi di server.
OSS menyediakan perlindungan data-at-rest melalui enkripsi sisi server, yang cocok untuk skenario yang memerlukan keamanan tinggi atau kepatuhan terhadap penyimpanan file, seperti menyimpan file sampel pembelajaran mendalam atau dokumen kolaborasi online. OSS menyediakan dua metode enkripsi sisi server berikut untuk skenario yang berbeda:
Gunakan kunci yang dikelola oleh KMS untuk enkripsi dan dekripsi (SSE-KMS)
Saat mengunggah objek, Anda dapat menggunakan customer master key (CMK) default yang dikelola oleh Key Management Service (KMS) atau ID CMK tertentu untuk enkripsi. Metode ini cocok untuk mengenkripsi dan mendekripsi data dalam jumlah besar serta merupakan metode berbiaya rendah karena data tidak perlu dikirim melalui jaringan ke server KMS untuk proses enkripsi dan dekripsi.
KMS adalah layanan manajemen kunci yang aman dan mudah digunakan yang disediakan oleh Alibaba Cloud. Anda tidak perlu berinvestasi besar untuk melindungi kerahasiaan, integritas, dan ketersediaan kunci Anda. Dengan KMS, Anda dapat menggunakan kunci secara aman dan nyaman, serta fokus pada pengembangan fitur enkripsi dan dekripsi. Anda dapat melihat dan mengelola kunci KMS Anda di Konsol KMS.
KMS menggunakan algoritma enkripsi AES-256 dan enkripsi amplop untuk mencegah akses data yang tidak sah. KMS menghasilkan kunci enkripsi data dan menggunakan CMK Anda untuk mengenkripsi kunci-kunci tersebut. Anda dapat menghasilkan CMK menggunakan kunci KMS default yang dikelola oleh OSS atau menggunakan fitur Bring-Your-Own-Key (BYOK). Bahan kunci untuk BYOK dapat disediakan oleh Alibaba Cloud atau diimpor oleh Anda sendiri.
Gambar berikut mengilustrasikan cara kerja enkripsi sisi server SSE-KMS.
Gunakan enkripsi yang dikelola oleh OSS (SSE-OSS)
Enkripsi sisi server yang sepenuhnya dikelola oleh OSS (SSE-OSS) merupakan atribut objek. SSE-OSS menggunakan algoritma Standar Enkripsi Lanjutan (AES-256) 256-bit yang menjadi standar industri untuk mengenkripsi setiap objek. Setiap objek dienkripsi dengan kunci unik, dan untuk perlindungan tambahan, kunci master digunakan untuk mengenkripsi kunci data unik tersebut. Metode ini cocok untuk enkripsi dan dekripsi data secara batch.
Dengan metode ini, OSS bertanggung jawab untuk menghasilkan dan mengelola kunci enkripsi data. Anda dapat mengatur metode enkripsi sisi server default untuk bucket ke AES-256. Selain itu, Anda dapat menyertakan header
X-OSS-server-side-encryptiondalam permintaan Anda dan mengatur nilainya keAES256saat mengunggah objek atau memodifikasi metadata-nya, sehingga mengaktifkan enkripsi sisi server untuk objek tersebut.
Untuk informasi selengkapnya, lihat Enkripsi sisi server.
Enkripsi sisi client
Enkripsi sisi client adalah proses mengenkripsi objek secara lokal sebelum diunggah ke Object Storage Service (OSS). Dalam pendekatan ini, Anda bertanggung jawab atas integritas dan kebenaran kunci master serta metadata enkripsi saat menyalin atau memigrasikan data terenkripsi.
Saat menggunakan enkripsi sisi client, kunci enkripsi data acak dihasilkan untuk setiap objek. Kunci data teks biasa ini digunakan untuk mengenkripsi data objek secara simetris. Kunci master kemudian digunakan untuk mengenkripsi kunci enkripsi data acak tersebut. Kunci data yang telah dienkripsi disimpan sebagai bagian dari metadata objek di server. Untuk mendekripsi objek, Anda harus terlebih dahulu menggunakan kunci master untuk mendekripsi kunci data terenkripsi tersebut, lalu menggunakan kunci data teks biasa yang dihasilkan untuk mendekripsi data objek. Kunci master hanya digunakan untuk perhitungan lokal di client dan tidak ditransmisikan melalui jaringan atau disimpan di server, sehingga menjamin keamanannya.
Dua metode berikut didukung untuk mengelola kunci master:
Gunakan customer master key yang dikelola oleh KMS
Saat menggunakan customer master key yang dikelola oleh KMS untuk enkripsi sisi client, Anda tidak perlu menyediakan kunci enkripsi ke client enkripsi OSS. Cukup tentukan ID customer master key KMS (CMK ID) saat mengunggah objek. Gambar berikut mengilustrasikan proses ini.
Gunakan kunci yang dikelola pelanggan
Saat menggunakan kunci yang dikelola pelanggan, Anda harus menghasilkan dan menyimpan kunci enkripsi tersebut sendiri. Saat client lokal mengenkripsi objek, Anda perlu menyediakan kunci enkripsi—yang dapat berupa kunci simetris atau asimetris—ke client enkripsi lokal. Gambar berikut mengilustrasikan proses enkripsi tersebut.
Untuk informasi selengkapnya, lihat Enkripsi sisi client.
Transmisi terenkripsi melalui HTTPS menggunakan SSL/TLS
OSS mendukung akses melalui HTTP atau HTTPS. Anda dapat mengatur Versi TLS sesuai kebutuhan bisnis Anda untuk meningkatkan keamanan transmisi data. Transport Layer Security (TLS) adalah protokol yang menyediakan kerahasiaan dan integritas data antara dua aplikasi yang berkomunikasi, membantu melindungi data Anda dari risiko keamanan di cloud.