資料來源:iThome

除了快照,加密是公有雲區塊儲存服務另一重要的資料服務功能,可以防止區塊磁碟區遭到未授權的存取。

目前幾乎所有公有雲服務商,都能為旗下區塊儲存服務提供免費的加密功能,且不會影響存取效能,用戶需注意的重點,包括這幾個面向:

● 加密涵蓋的範圍:有些服務商的加密功能,可以涵蓋包括開機系統磁碟區、資料磁碟區與快照在內的所有儲存區(如AWS與Azure),有些則只能加密資料磁碟區與其快照,而不能加密系統磁碟區(如阿里雲)。

● 加密技術:所有公有雲服務商的加密功能,都是基於AES 256位元加密技術,這也是當前業界的標準

● 靜態加密(Encryption at rest):加密區塊磁碟區中的靜態資料,這是最基本的加密功能,所有公有雲服務商都能提供。

● 傳輸中加密(Encryption in transit):也就是執行個體/虛擬機器與區塊磁碟區之間傳輸資料時的加密,對於公有雲環境來說,執行個體/虛擬機器與區塊磁碟區是各自獨立,分別位於不同實體環境中,因此,執行個體存取區塊磁碟區時,涉及了一系列傳輸環節與過程,連帶也形成了安全上的隱患,而透過「傳輸中加密」功能,將可防止傳輸過程中的資料外洩。

目前除了IBM Cloud以外,其他主要公有雲服務商都為區塊儲存服務,提供了傳輸中加密功能。

● 金鑰的管理:公有雲區塊儲存加密功能的金鑰管理,包括由公有雲服務商管理金鑰、用戶自行管理金鑰,以及獨立的金鑰管理服務(Key Management Service,KMS)等3類,目前除IBM Cloud外,其他主要公有雲服務商的區塊儲存加密功能,都能支援這3類金鑰管理方式,有一些服務商自身還能提供專門的KMS托管服務,可以與區塊儲存服務的加密功能相互配合(如AWS的KMS,以及阿里雲的KMS等),簡化用戶的金鑰管理。

 相關報導  透視公有雲區塊儲存服務


Advertisement

更多 iThome相關內容