9月份文件存储服务极速型这块产品发布了加密文件系统。对于加密文件系统,用户数据写到物理存储介质之前,NAS服务会对数据进行加密;用户读取数据的时候,NAS服务会对介质中密文数据进行解密。因此整个加解密过程对用户是透明的,但是落盘持久化的数据都是密文。加密文件系统能够有效增强用户数据的安全性。本文会简单介绍一下加密文件系统的原理以及创建方法。
# 原理
图1 加密文件系统的读写流程如上图所示,NAS服务本身并不持有加密用户数据的秘钥,秘钥统一托管在用户的秘钥管理服务(KMS)中。数据写入的时候,NAS服务凭CMK向KMS获取加密数据的秘钥对数据进行加密然后写盘。读数据的时候,NAS从磁盘中获取的密文数据,NAS服务凭CMK向KMS获取解密数据的秘钥对数据进行解密然后将明文返回给客户端。本次文件存储提供的是“服务秘钥”加密方式,CMK由NAS服务创建,不需要用户额外操作。用户可以看到该CMK,只是不能删除。
# 创建加密文件系统
1、确认KMS已经开通
文件存储服务的数据加密依赖KMS,因此用户先要确认自己是否已经开通KMS服务。登陆“密钥管理服务控制台”,如果未开通KMS就会弹出如下提示框,此时用户只要点击“去开通”按钮,并按照默认的向导就可以完成服务的开通。没有弹出提示框说明服务已经开通。
2、创建文件系统
极速NAS“包年包月”和“按量付费”的购买页面都已经增加了“数据加密”选项。选择“静态数据加密”,再根据向导执行以往的文件系统购买流程,这样创建的文件系统既是数据落盘加密的文件系统。如下图
3、加密文件系统展示
管理控制台的文件系统列表会显示文件系统是否启用加密。
同样在详情页中我们也增加了相应的描述信息
4、NAS服务创建的CMK
创建加密文件系统,NAS服务会在用户的KMS创建NAS服务专用的CMK,用户可以登陆密钥管理服务控制台看到。
# 总结
加密文件系统确保所有落盘的用户数据都是以密文形式存在,明文数据只可能会在易失的内存、网络通信中存在,这将极大的提高用户数据的安全性。经过我们测试加密功能对的文件系统的性能几乎没有影响。
当前我们只支持新建文件系统启用存储加密,不支持非加密文件系统转成加密文件系统。存量文件系统如果要启用存储加密,需要创建新的加密文件系统并把数据复制过去。
