云上数据安全实践:使用 KMS 一键保护 ECS 工作负载

本文涉及的产品
云安全中心 免费版,不限时长
云安全中心 云平台配置检查,900元 3000次
云安全中心 防病毒版,最高20核 3个月
简介: 当您的 ECS 工作负载用于处理生产数据时,它通常会接触到您的关键业务机密、您的客户隐私信息或者关键系统凭证,因此需要对工作负载进行保护防范信息泄露。阿里云 KMS 支持您通过一键加密的方式,围绕工作负载,保护计算环境中产生的临时和持久数据,满足您对数据安全、隐私以及合规的要求。对负责运维和安全的团队来说,加密 ECS 工作负载的资源是 DevOps 研发模式下,简单而有效的安全兜底方案。

本文介绍如何利用阿里云 KMS,对 ECS 上的工作负载进行保护。

为什么需要保护工作负载

在讨论工作负载的保护之前,我们先来了解一下更原始的数据安全需求:保护业务机密和个人隐私。这类数据是企业的核心价值所在,而且通常也受到监管合规的约束,例如广泛所知的 GDPR 会要求企业保护个人的隐私数据。

这类数据通常存储在数据库,那么应用系统应当在存储之前将其加密,降低数据库面临撞库拖库等攻击之后泄露的风险。

为了保证加密的安全性与合规性,应用系统可以使用 KMS 或者 加密服务 完成业务数据的加密。关于应用层加密业务数据,可以参考 KMS 信封加密 做了解更多,本文不做展开。

我们假定您已经做了上述保护手段,那么处理加解密的工作负载,就替代了数据库,成为了您的系统中新的薄弱环节。考虑以下几种情况:

  1. 您的 ECS 应用中,有访问 KMS 或者 密码机,以及访问其他微服务、子系统的关键凭证;
  2. 您的 ECS 系统盘,可能产生一些临时文件,包含网络传输、本地处理过程中,接触到的敏感数据;
  3. 为了系统稳定可恢复,您对 ECS 云盘开启了基于自动快照的“云盘备份”,对敏感数据进行大量冗余存储;

实际的业务系统部署会面临比以上三点更多的问题,而更本质的问题是:

在研发(DevOps)自治的应用部署和生命周期变更机制下,运维与安全负责人并不知道工作负载是否产生了新的敏感数据类型,是否引入新的业务逻辑处理敏感数据。

KMS 带来的价值

明确了工作负载所携带的风险,因此阿里云 ECS 基于 KMS 加密,提供保护工作负载所属资源的能力,这包括:ECS 的系统盘、数据盘,以及和它们相关的镜像、快照。

您可以授权 ECS 使用您在 KMS 中的用户主密钥(CMK),一键加密这些资源,把已知和未知的,临时和持久性的敏感数据都保护起来,防范它们被恶意者获取。由于您同时具备撤销 ECS 使用 KMS 解密的能力,因此可以在特定的时候,通过撤销授权、禁用密钥等手段,获得应急响应的能力。

对负责运维和安全的团队来说,加密 ECS 工作负载的资源是 DevOps 研发模式下,简单而有效的安全兜底方案。

一键加密 系统盘

由于系统盘实际上包含了操作系统,以及业务所需要的应用软件,因此它通常被打包为一个镜像。

当您制作好这个具备在生产环境运行的自定义镜像作为基线之后,就可以通过拷贝镜像的方式,产生一个加密镜像。
image.png

随后基于此加密镜像(Golden Image)创建 ECS 实例 系统盘时,则可以自动使用相应的 KMS CMK 完成对系统盘的加密。

而基于加密系统盘创造出来的其他资源(例如快照)也都是加密的。

总结:先制作基线镜像;然后一键加密基线镜像。基于加密镜像创建的系统盘自动被加密。

一键加密 数据盘

数据盘的加密则更直接一点,您可以在创建实例或者创建数据盘时完成加密。

创建 ECS 实例时

image.png

创建云盘时

image.png

同样,基于加密数据盘创建出来的其他资源也都是加密的。

总结:找到并且勾选“加密”,随后选择用于加密的CMK

小结和最佳实践

本文探讨了 ECS 工作负载的保护需求,并且介绍了如何利用 KMS 对其一键保护。虽然本文以保护敏感的“企业机密”和“个人隐私”为切入介绍了其必要性,实际的生产部署中,需要保护的机密信息类型更加广泛。

长期的安全研究指向以下两个结论:

  • 实际的生产环境部署中,几乎所有的应用都会涉及到某种类型的机密信息,尤其是广泛存在的访问密钥、口令、证书等
  • “预发布”环境或者测试环境的部署中,往往包含了一些可以推导生产环境机密信息的其他信息

因此在越来越多的企业生产实践中,逐步倾向于制定和实施一种 默认加密 的安全策略,对工作负载涉及到的敏感信息进行保护,而基于 KMS 的 ECS 透明加密正是为了满足这一需求量身定制,让您可以高效、低成本的构建安全的云上计算环境。

参考资料

阿里云官网用户指南:
ECS云盘加密
云产品集成KMS透明加密

相关实践学习
ECS云服务器新手上路
本实验会自动创建一台ECS实例。首先,远程登陆ECS实例,并部署应用。然后,登陆管理控制台,并对这台ECS实例进行管理操作。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
6天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
14天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
18天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
3天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
10天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
17天前
|
Cloud Native 安全 开发者
云原生架构的演进与实践:从微服务到无服务器计算
本文深入探讨了云原生技术的最新进展,特别关注微服务和无服务器计算模型。通过分析相关研究数据和行业案例,文章揭示了云原生架构如何推动现代应用开发,提升运维效率,并实现资源的最优化配置。文中详细讨论了云原生生态系统中的关键组成部分,包括容器化、自动化管理工具和服务网格,以及它们如何共同促进敏捷性和可扩展性。此外,文章还分析了云原生安全策略的重要性,以及如何在保障安全的同时,保持系统的灵活性和高效性。
|
21天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
1天前
|
运维 安全 数据挖掘
阿里云轻量应用服务器82元和298元与云服务器99元和199元简介
目前阿里云推出了几款价格极为实惠的轻量应用服务器和云服务器产品,轻量应用服务器有2核2G3M 50GB高效云盘,价格为82元1年;2核4G4M 60GB高效云盘,价格为298元1年;经济型e实例2核2G,40G ESSD Entry盘,3M带宽,价格为99元1年;通用算力型u1实例2核4G,80G ESSD Entry盘,5M带宽,价格为199元1年。这几款云服务器究竟如何?本文将为您进行详细分析,以供参考。
阿里云轻量应用服务器82元和298元与云服务器99元和199元简介
|
6天前
|
存储 关系型数据库 数据库
给阿里云的建议和意见 一个云服务器架构是否可行
摘要(Markdown格式): 在修复阿里云服务器IPv4设置错误时遇到困难,导致服务器远程登录失败及外网访问受阻,耗时三天解决。建议阿里云更新文档,确保设置指导与实际情况一致,例如只需在路由表添加条目关联IPv4。此外,建议优化帮助页面,如采用折叠式设计减少干扰。服务器主要任务是数据分析、存储和分发,文中提出简化服务器框架,消除硬件软件复杂配置,利于初学者和独立开发者快速上手,降低时间成本。该设计旨在减少无用组件,节省资源,同时降低云服务商的人力和支持成本。期望云服务商考虑此类架构创新。目前未知是否有类似产品,期待业界反馈。
229 0
给阿里云的建议和意见 一个云服务器架构是否可行
|
1天前
|
弹性计算 供应链 并行计算
阿里云ECS服务器五种计费模式有啥区别?包年包月、按量付费、抢占式实例、节省计划和预留实例券
阿里云服务器计费多样化:包年包月适合长期稳定服务,如Web网站;按量付费适合短期或波动需求,如测试、扩展;抢占式实例享折扣但可能被释放,适合无状态任务;预留实例券抵扣按量付费账单;节省计划提供资源使用承诺的折扣,适用于用量稳定的业务。