在嚴格的資料安全合規驅動下,雲上使用者對核心資料的保護已升級為商務持續性保障的核心環節。基於CIPU硬體加密卸載技術的VPC流量加密,通過專用晶片實現網路通訊協定棧底層的全流量自動加密,在保障業務效能無損的同時,有效抵禦物理層網路攻擊與宿主機流量劫持,滿足金融交易、醫學資料轉送等高敏情境對高強度加密的安全需求。
什麼是VPC流量加密
VPC流量加密功能目前在邀測中,如需使用,請提交工單申請。
VPC流量加密基於CIPU硬體卸載能力,採用AES-GCM-256演算法對ECS執行個體間內網流量進行透明化自動加解密,結合KMS服務的集中化密鑰生命週期管理,在保障傳輸資料抗破解性的同時,實現業務零感知,加密前後效能差異不超過亞微秒級。
開啟VPC流量加密後,系統將對傳輸的動態資料進行全程高強度加密保護,即使攻擊者通過物理層網路劫持等手段截獲資料報文,也會因密碼編譯演算法的計算複雜度保護而無法解析原始內容,從而從根本上阻斷敏感資訊泄露風險。
適用情境
基於CIPU硬體卸載的VPC流量加密功能,通過晶片級能力實現高效能、零感知的傳輸安全,適用於金融交易、醫學資料轉送等對安全與效能有嚴苛要求的多樣化雲上情境:
金融高頻交易:高頻金融交易和即時支付處理需嚴格防篡改和竊聽,VPC流量加密可在不影響網路效能的前提下保障資料安全,滿足金融業務對效能和合規的雙重需求。
醫學健康資訊管理:電子病曆、診斷資料轉送需符合HIPAA等隱私法規,VPC流量加密可以在不影響醫學系統即時響應的前提下保護患者資料,降低隱私泄露的合規風險。
使用限制
地區限制
VPC流量加密功能正在逐步開放,以下是目前支援的地區和可用性區域:
地區名稱 | 地區ID | 可用性區域名稱 | 可用性區域ID |
華北2(北京) | cn-beijing | 可用性區域I | cn-beijing-i |
華東2(上海) | cn-shanghai | 可用性區域L | cn-shanghai-l |
規格限制
目前在部分規格類型系列上支援,包括g9ae、c9ae、r9ae、ebmg9ae、ebmc9ae、ebmr9ae。
說明支援的規格正在邀測中,如需使用,請提交工單申請。
ECS執行個體預設關閉VPC流量加密,您可以在建立執行個體時或建立執行個體後開啟/關閉。
您可以通過DescribeInstanceTypes介面查詢規格支援情況,傳回值NetworkEncryptionSupport為true表示支援,false表示不支援。
規格變更可能影響VPC流量加密支援,請注意確認。
加密範圍限制
目前僅支援同一VPC內或通過VPC對等串連實現同地區跨VPC私網互聯的ECS執行個體之間加密。
僅當兩端執行個體均支援並開啟加密時,流量才會加密(例如某一端使用了不支援的規格,或未開啟加密,則中間的流量不加密)。
暫不支援跨地區加密,也不支援與Server Load Balancer、NAT Gateway等其他雲產品通訊加密。
開啟/關閉VPC流量加密
控制台開啟/關閉
建立執行個體時候開啟、關閉
在執行個體建立頁,選擇支援VPC流量加密的地區、執行個體規格時,可選擇開啟、關閉流量加密。
修改已建立執行個體的VPC流量加密配置
執行個體建立完成後,在ECS執行個體詳情頁開啟、關閉流量加密。
訪問ECS控制台-執行個體。
在頁面左側頂部,選擇目標資源所在的資源群組和地區。
找到已建立的支援VPC流量加密的執行個體,點擊進去執行個體詳情頁,在全部操作中選擇。
在編輯執行個體屬性對話方塊,根據實際需要開啟、關閉VPC流量加密。
API開啟/關閉
您可以在調用RunInstances時,通過設定NetworkOptions配置中的EnableNetworkEncryption為true、false,建立開啟、關閉VPC流量加密的執行個體。
您可以調用ModifyInstanceAttribute介面修改執行個體的VPC流量加密配置,設定參數EnableNetworkEncryption為true、false,實現開啟、關閉流量加密。
您可以調用DescribeInstanceAttribute介面查詢執行個體的VPC流量加密配置,通過返回的EnableNetworkEncryption確認指定執行個體的VPC流量加密功能是否開啟。
在支援的加密範圍內,ECS執行個體開啟VPC流量加密後,執行個體間的私網流量均會強制加密。