什么是云硬盤加密？

當您的業務因為等保合規或安全要求等原因，需要對存儲在云硬盤上的數據進行加密保護時，您可以在創建云硬盤時勾選加密選項，即可對新創建的云硬盤進行加密。

密鑰管理

天翼云使用行業標準的AES-256 算法，利用數據密鑰加密您的云硬盤數據，加密云硬盤使用的密鑰由天翼云自研密鑰管理（KMS，Key Management Service）功能提供，用戶可輕松創建并管理密鑰，滿足數據加解密及數字簽名驗簽等需求，安全便捷。

KMS通過使用硬件安全模塊HSM（Hardware Security Module）保護密鑰的安全，所有的用戶密鑰都由HSM中的根密鑰保護，避免密鑰泄露。密鑰管理可以輕松滿足對小數據和大量數據的加解密。

工作原理

服務端加密支持選擇默認密鑰及用戶自行創建的用戶主密鑰，具體可選擇的密鑰類型如下。

在了解云硬盤加密工作原理之前，首先需要了解兩個概念：

• 默認密鑰

  • 系統為云產品自動創建的用于服務端加密的默認密鑰，默認密鑰與云產品對應，每個天翼云賬號下的每個云產品，在每個資源支持創建1個默認密鑰。

  • 默認密鑰的別名定義為alias_<云產品代碼>，例如alias_ecs。

  • 默認密鑰的密鑰材料由KMS生成，不支持導入外部密鑰材料，同時不支持自動輪轉、啟用/禁用、刪除等操作。

• 用戶主密鑰

  • 用戶主密鑰云產品加密時，可選用戶在KMS服務中自建的用戶主密鑰，密鑰類型為對稱密鑰，算法支持AES_256、SM4，保護級別可選軟件保護、硬件保護。

  • 用戶主密鑰按照KMS按需及包周期版的服務標準資費進行計費，請您確保賬戶余額充足、到期前及時續費，避免KMS服務凍結，凍結后云產品無法進行正常的加解密操作，云產品可能會出現異常。

  • 用戶主密鑰支持計劃刪除，操作計劃刪除前請確保該密鑰非云產品加密使用的密鑰，避免誤刪除導致云產品無法正常加解密而出現異常。為避免誤刪，您可以為密鑰開啟刪除保護功能。

第一次使用加密云硬盤時，系統會自動創建一個用戶主密鑰（CMK），該密鑰有且僅有一個，且是在KMS中的相應地域所創建，并將其存儲在受嚴格的物理和邏輯安全控制保護的密鑰管理服務上。查看如何通過KMS實現服務端加密。

每個地域的加密云硬盤，都需要通過256位數據密鑰（DEK）進行加密，此數據密鑰（DEK）具備地域唯一性，即每個地域都有且僅有一個。該密鑰受 KMS 提供的密鑰管理基礎設施的保護，能有效防止未經授權的訪問。云硬盤的數據密鑰（DEK）僅在實例所在的宿主機的內存中使用，不會以明文形式存儲在任何持久化介質（即使是云硬盤本身）上。

在創建加密云硬盤并將其掛載到實例后，以下數據都將關聯此密鑰并進行加密：

• 云硬盤中的靜態數據

• 云硬盤和實例間傳輸的數據（實例操作系統內的數據不加密）

• 通過加密云硬盤創建的快照

云硬盤加密功能與快照、備份、鏡像之間的關系：

云硬盤加密功能與云主機系統盤、云主機數據盤、快照、備份、鏡像的關系介紹如下：

云硬盤加密功能

• 創建云硬盤時，用戶可以選擇是否加密此云硬盤，云硬盤創建完成后加密屬性無法更改。

云主機系統盤加密

• 創建云主機時，支持在創建時直接設置系統盤加密。

云主機數據盤加密

• 創建云主機時，支持在創建時直接設置數據盤加密。

云硬盤加密與快照

• 加密云硬盤生成的快照及通過這些快照創建的云硬盤將自動繼承加密功能屬性。

云硬盤加密與備份

• 加密云硬盤生成的備份及通過這些備份創建的云硬盤將自動繼承加密功能屬性。