Elastic Compute Service (ECS) インスタンス上のデータを、整合性の検証、機密性のための暗号化、可用性のためのバックアップによって保護します。
データ整合性
データ整合性は、転送中およびストレージにおける偶発的または悪意のある改ざんを防ぎます。
ECS は、信頼性のための3重化ストレージ、完全な削除のための安全なデータ消去、エンドツーエンドのデータ保護のための巡回冗長検査 (CRC) を使用します。
-
3重化ストレージ
-
機能説明:クラウドディスクのデータは、ストレージクラスター内の異なるデータノードに保存される 3 つのチャンクコピーに複製されます。これにより、読み書き操作時のデータの信頼性と安定性が確保されます。詳細については、「ESSD クラウドディスクのデータ信頼性」をご参照ください。
-
設定方法:デフォルトで、クラウドディスクはこの機能をサポートしています。
-
-
データ消去メカニズム
-
機能説明:分散ブロックストレージシステムで削除されたデータは完全に消去され、アクセスも復元もできません。
クラウドディスクは、下層でシーケンシャルな追記書き込みを使用します。この設計は、物理ディスクでのシーケンシャル書き込みの高い帯域幅と低いレイテンシーを活用します。追記書き込み機能のため、クラウドディスク上の論理領域を削除する操作はメタデータとしてのみ記録されます。この論理領域から読み取りを試みると、ストレージシステムはすべてゼロを返します。同様に、論理領域を上書きしても、物理ディスク上の対応する領域がすぐに上書きされるわけではありません。代わりに、ストレージシステムは論理領域と物理領域のマッピングを変更して上書きを実行します。これにより、元のデータが読み取れないことが保証されます。削除または上書き操作による物理ディスク上の残留データは、後で完全に削除されます。
クラウドディスクなどのブロックデバイスを解放すると、ストレージシステムは直ちにそのメタデータを破棄して、データにアクセスできないようにします。クラウドディスクが占有していた物理ストレージ領域も回収されます。この物理領域は、再割り当てされる前にクリアされます。新しく作成されたすべてのクラウドディスクは、最初の書き込みの前にすべての読み取り操作に対してゼロを返します。
-
設定方法:デフォルトで、クラウドディスクはこの機能をサポートしています。
-
-
CRC
-
機能説明:クラウドディスクは、転送中およびストレージにおけるエンドツーエンドのデータ検証のため、CRC をサポートしています。
-
すべての読み書き操作に対して、フルリンクの CRC が実行されます。
-
ブロックストレージシステムは、永続メディアに対して定期的に CRC と冗長性チェックを実行します。
-
-
設定方法:デフォルトで、クラウドディスクはこの機能をサポートしています。
-
データの機密性
暗号化は、不正なアクセスや開示を防ぎます。データが転送中に傍受されたり、ストレージ内で不正にアクセスされたりしても、その内容を復号化することはできません。
ECS は、ストレージ、ネットワーク伝送、およびコンピューティング環境全体でデータの機密性を確保します。
ストレージ暗号化
-
ディスク暗号化
-
機能説明:システムディスクまたはデータディスクを作成する際に [暗号化] を有効にします。データは書き込み時に自動的に暗号化され、読み取り時に復号化されますが、このプロセスはオペレーティングシステムからは透過的です。キー管理のインフラは不要です。ディスク暗号化は、データプライバシーを保護し、ビジネスデータに安全な境界を提供します。
-
設定方法:詳細については、「クラウドディスク暗号化の概要」をご参照ください。
重要高いセキュリティコンプライアンス要件が求められる企業向けに、ECS ではカスタムポリシーを設定して、RAM ユーザーが暗号化されたディスクのみを作成できるように制限できます。詳細については、「ECS のカスタムポリシー」トピックの「暗号化されていないクラウドディスクの作成を制限する」セクションをご参照ください。
-
-
スナップショット暗号化
暗号化されたクラウドディスク (システムディスクおよびデータディスク) のスナップショットは、ディスクの暗号化属性を継承します。スナップショットデータは、ストレージ、伝送、リージョン間のコピー、およびディスクからの復元中も暗号化されたままです。
-
イメージ暗号化
イメージ暗号化は、イメージに保存されたデータを不正なアクセスから保護します。権限のないユーザーがイメージデータにアクセスしても、それを読み取ったり復号化したりすることはできません。暗号化されたシステムディスクを持つインスタンスから、または暗号化されたスナップショットから、あるいは暗号化されていないイメージをコピーして暗号化イメージを作成します。
ネットワーク伝送暗暗号化
ECS は、転送中のデータを暗号化するために複数の方法をサポートしています:セキュリティ強化モードでのメタデータアクセス、VPN ゲートウェイによる安全な接続、および ECS リソースへアクセスするための HTTPS です。
-
セキュリティ強化モードでのインスタンスメタデータへのアクセス
-
機能説明:通常モードでは、メタデータサービスは認証なしでインスタンスのメタデータを返します。メタデータに機密情報が含まれている場合、盗聴されたり漏洩したりする可能性があります。サーバーサイドリクエストフォージェリ (SSRF) の脆弱性により、攻撃者がメタデータサービスから Security Token Service (STS) トークンを取得し、AccessKey の漏洩と同様のリスクを引き起こす可能性があります。セキュリティ強化モードは、メタデータへのアクセスにトークンベースの認証を要求することで、SSRF 攻撃を軽減します。
-
設定方法:セキュリティ強化モード を選択してメタデータサービスにアクセスします。詳細については、「インスタンスメタデータ」をご参照ください。
-
-
VPN ゲートウェイを使用した安全なアクセス
-
機能説明:VPN ゲートウェイ (VPN) は、オンプレミスネットワーク、オフィスネットワーク、またはインターネットクライアントと Alibaba Cloud の Virtual Private Cloud (VPC) 環境との間に暗号化されたトンネルを確立します。IPsec-VPN と SSL-VPN の 2 つの接続方法をサポートしています。データは、Internet Key Exchange (IKE) プロトコルと IPsec プロトコルで暗号化されます。
-
IPsec-VPN:各データパケットは送信前に IPsec によって暗号化されます。IPsec はデータ暗号化と認証を提供し、データ整合性を確保します。
-
SSL-VPN:クライアントに SSL クライアント証明書をインストールして、VPN ゲートウェイへの暗号化された接続を確立します。SSL は、データ保護、ID 認証、およびデータ整合性を確保するためにトラフィックを暗号化します。
詳細については、「VPN ゲートウェイとは」をご参照ください。
-
-
設定方法:デフォルトで、この機能はサポートされています。
-
-
HTTPS を使用した ECS リソースへのアクセス
-
機能説明:HTTPS は、Transport Layer Security (TLS) と SSL を使用して転送中のデータを暗号化し、第三者による監視、傍受、改ざんを防ぎます。ECS は 256 ビットの HTTPS 暗号化をサポートしています。セッションマネージャーを使用してインスタンスに接続する、パスワードまたはキーを使用してインスタンスに接続する、またはクラウドアシスタントを使用してインスタンスにアクセスする際には、TLS 1.2 が使用されます。
-
設定方法:デフォルトで、この機能はサポートされています。
重要Alibaba Cloud が提供する
acs:SecureTransport条件キーを参照するカスタムポリシーを設定し、RAM ユーザーにアタッチすることで、ECS リソースへのアクセスを HTTPS のみに制限できます。詳細については、「カスタムポリシー」をご参照ください。 -
ランタイムコンピューティング環境
-
機能説明:コンピューティングおよびセキュリティに最適化された ECS インスタンスは、ハードウェア暗号化、分離機能、監査機能などの技術を使用して、安全で分離されたコンピューティング環境を提供します。これらのインスタンスタイプは、ホストメモリ暗号化、トラステッドコンピューティング、コンフィデンシャルコンピューティングをサポートしています。詳細については、「セキュリティ機能の概要」をご参照ください。
-
設定方法:詳細については、「トラステッドコンピューティング」、「コンフィデンシャルコンピューティング」、「ベストプラクティス」をご参照ください。
データの可用性
-
機能説明:データの可用性は、データライフサイクル全体を通じて、データの完全性、一貫性、正確性を維持します。ECS は、スナップショットベースのバックアップ、イメージベースのバックアップ、および災害復旧のためのマルチゾーンデプロイをサポートしています。
-
設定方法:詳細については、「ECS 災害復旧ソリューション」をご参照ください。