本文介绍了当前支持服务端集成加密的云产品。云产品通过使用服务托管密钥或者允许用户自选密钥(包括BYOK - 自带密钥)对数据进行服务端加密保护。

服务端集成加密功能可以以低成本实现云上数据的加密保护,为业务数据提供安全边界,提升阿里云对您业务安全的保障能力。这不仅适用于您可直接获取的业务数据,也适用于您只能间接访问的业务数据。

块存储云盘

块存储-云盘的加密功能默认使用服务密钥为用户的数据进行加密,同时也支持使用用户自选密钥为用户的数据进行加密。云盘的加密机制中,每一块云盘(Disk)会有相对应的用户主密钥(CMK)和数据密钥(DK),并通过信封加密机制对用户数据进行加密。

使用ECS云盘加密功能,系统会将从ECS实例传输到云盘的数据自动加密,并在读取数据时自动解密。加密解密在ECS实例所在的宿主机上进行,在加密解密的过程中,云盘的性能几乎没有衰减。

在创建加密云盘并将其挂载到ECS实例后,系统将对以下数据进行加密:
  • 云盘中的静态数据
  • 云盘和实例间传输的数据(实例操作系统内数据不加密)
  • 从加密云盘创建的所有快照(即加密快照)
说明 块存储云盘加密也适用于容器服务。

对象存储 OSS

OSS支持在服务器端对上传的数据进行加密(Server-Side Encryption):上传数据时,OSS对收到的用户数据进行加密,然后将得到的加密数据持久化保存下来;下载数据时,OSS自动对保存的加密数据进行解密并把原始数据返回给用户,并在返回的HTTP请求Header中,声明该数据进行了服务器端加密。

OSS在支持集成KMS之前就支持了自研的加密体系,称之为SSE-OSS,即:使用OSS私有密钥体系进行服务端加密。这种方式并不使用归属用户的密钥,因此用户无法通过ActionTrail服务审计密钥使用情况。

OSS支持集成KMS进行服务端加密,称之为SSE-KMS。OSS支持使用服务密钥和用户自选密钥两种方式进行服务端加密。同时OSS既支持在桶级别配置默认加密CMK,也支持在上传每个对象时使用特定的CMK。

请参见OSS的服务器端加密SDK参考获取更多详情。

云数据库

  • 关系型数据库 RDS
    RDS数据加密提供以下两种方式:
    • 云盘落盘加密

      针对RDS云盘版实例,阿里云免费提供云盘加密功能,基于块存储对整个数据盘进行加密。云盘加密使用的密钥由KMS服务加密保护,RDS只在启动实例和迁移实例时,动态读取一次密钥。

    • 透明数据加密TDE

      RDS提供MySQL和SQL Server的透明数据加密(Transparent Data Encryption,简称TDE)功能。TDE加密使用的密钥由KMS服务加密保护,RDS只在启动实例和迁移实例时动态读取一次密钥。当RDS实例开启TDE功能后,用户可以指定参与加密的数据库或者表。这些数据库或者表中的数据在写入到任何设备(磁盘、SSD、PCIe卡)或者服务(对象存储OSS、归档存储OAS)前都会进行加密,因此实例对应的数据文件和备份都是以密文形式存在的。

    请参见以下文档获取更多详情:
  • MongoDB

    MongoDB加密和RDS类似,请参见设置透明数据加密TDE获取更多详情。

应用配置管理 ACM

ACM通过和KMS集成,对应用配置进行加密,确保敏感配置(数据源、Token、用户名、密码等)的安全性,降低用户配置的泄露风险。ACM服务端和KMS的集成有以下两种方式:
  • 在KMS服务端直接加密

    ACM服务通过KMS的数据加密API,将配置传送到KMS端,指定CMK完成对配置的加密。

  • 在ACM服务端信封加密

    通过KMS的API,使用指定CMK来保护生成的DK,使用DK在ACM服务端完成对配置的加密。

请参见创建和使用加密配置获取更多详情。

文件存储 NAS

NAS的加密功能默认使用服务密钥为用户的数据进行加密。NAS的加密机制中,每一卷(Volume)会有相对应的CMK(目前只支持NAS的服务密钥,后续会对自选密钥进行支持)和DK,并通过信封加密机制对用户数据进行加密。

表格存储 Table Store

Table Store的加密功能默认使用服务密钥为用户的数据进行加密,同时也支持使用用户自选密钥为用户的数据进行加密。表格存储的加密机制中,每一个表格(Table)会有相对应的CMK和DK,并通过信封加密机制对用户数据进行加密。

大数据计算 MaxCompute

MaxCompute支持使用服务密钥作为主密钥进行数据加密。

云存储网关 CSG

CSG支持基于OSS对数据进行加密,详情请参见管理共享

媒体处理 MTS

MTS支持私有加密和HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。

视频点播 VOD

VOD支持阿里云视频加密HLS标准加密两种方式,均可以集成KMS对视频内容进行保护。

Web应用托管服务 Web+

Web+使用KMS对应用托管服务中使用的敏感配置数据进行加密保护,这包含了类似RDS数据库的访问凭证等机密信息。