极速型NAS加密文件系统创建步骤-阿里云开发者社区

开发者社区> 云计算> 正文
登录阅读全文

极速型NAS加密文件系统创建步骤

简介: 阿里云NAS是云上的共享文件存储服务。用户可以把NAS文件系统可以挂载到多个ECS,实现数据共享。文件系统挂载后即可使用,体验和操作本地文件完全一致https://nas.console.aliyun.com。

9月份文件存储服务极速型这块产品发布了加密文件系统。对于加密文件系统,用户数据写到物理存储介质之前,NAS服务会对数据进行加密;用户读取数据的时候,NAS服务会对介质中密文数据进行解密。因此整个加解密过程对用户是透明的,但是落盘持久化的数据都是密文。加密文件系统能够有效增强用户数据的安全性。本文会简单介绍一下加密文件系统的原理以及创建方法。
# 原理
image

                       图1 加密文件系统的读写流程

如上图所示,NAS服务本身并不持有加密用户数据的秘钥,秘钥统一托管在用户的秘钥管理服务(KMS)中。数据写入的时候,NAS服务凭CMK向KMS获取加密数据的秘钥对数据进行加密然后写盘。读数据的时候,NAS从磁盘中获取的密文数据,NAS服务凭CMK向KMS获取解密数据的秘钥对数据进行解密然后将明文返回给客户端。本次文件存储提供的是“服务秘钥”加密方式,CMK由NAS服务创建,不需要用户额外操作。用户可以看到该CMK,只是不能删除。

# 创建加密文件系统
1、确认KMS已经开通
文件存储服务的数据加密依赖KMS,因此用户先要确认自己是否已经开通KMS服务。登陆“密钥管理服务控制台”,如果未开通KMS就会弹出如下提示框,此时用户只要点击“去开通”按钮,并按照默认的向导就可以完成服务的开通。没有弹出提示框说明服务已经开通。
image

2、创建文件系统
极速NAS“包年包月”和“按量付费”的购买页面都已经增加了“数据加密”选项。选择“静态数据加密”,再根据向导执行以往的文件系统购买流程,这样创建的文件系统既是数据落盘加密的文件系统。如下图
image

3、加密文件系统展示
管理控制台的文件系统列表会显示文件系统是否启用加密。
image
同样在详情页中我们也增加了相应的描述信息
image

4、NAS服务创建的CMK
创建加密文件系统,NAS服务会在用户的KMS创建NAS服务专用的CMK,用户可以登陆密钥管理服务控制台看到。
image

# 总结
加密文件系统确保所有落盘的用户数据都是以密文形式存在,明文数据只可能会在易失的内存、网络通信中存在,这将极大的提高用户数据的安全性。经过我们测试加密功能对的文件系统的性能几乎没有影响。
当前我们只支持新建文件系统启用存储加密,不支持非加密文件系统转成加密文件系统。存量文件系统如果要启用存储加密,需要创建新的加密文件系统并把数据复制过去。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
云计算
使用钉钉扫一扫加入圈子
+ 订阅

时时分享云计算技术内容,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

其他文章