9 月份文件存储服务极速型这块产品发布了加密文件系统. 对于加密文件系统, 用户数据写到物理存储介质之前, NAS 服务会对数据进行加密; 用户读取数据的时候, NAS 服务会对介质中密文数据进行解密. 因此整个加解密过程对用户是透明的, 但是落盘持久化的数据都是密文. 加密文件系统能够有效增强用户数据的安全性. 本文会简单介绍一下加密文件系统的原理以及创建方法.
# 原理
图 1 加密文件系统的读写流程
如上图所示, NAS 服务本身并不持有加密用户数据的秘钥, 秘钥统一托管在用户的秘钥管理服务 (KMS) 中. 数据写入的时候, NAS 服务凭 CMK 向 KMS 获取加密数据的秘钥对数据进行加密然后写盘. 读数据的时候, NAS 从磁盘中获取的密文数据, NAS 服务凭 CMK 向 KMS 获取解密数据的秘钥对数据进行解密然后将明文返回给客户端. 本次文件存储提供的是 "服务秘钥" 加密方式, CMK 由 NAS 服务创建, 不需要用户额外操作. 用户可以看到该 CMK, 只是不能删除.
# 创建加密文件系统
1, 确认 KMS 已经开通
文件存储服务的数据加密依赖 KMS, 因此用户先要确认自己是否已经开通 KMS 服务. 登陆 "密钥管理服务控制台", 如果未开通 KMS 就会弹出如下提示框, 此时用户只要点击 "去开通" 按钮, 并按照默认的向导就可以完成服务的开通. 没有弹出提示框说明服务已经开通.
2, 创建文件系统
极速 NAS"包年包月" 和 "按量付费" 的购买页面都已经增加了 "数据加密" 选项. 选择 "静态数据加密", 再根据向导执行以往的文件系统购买流程, 这样创建的文件系统既是数据落盘加密的文件系统. 如下图
3, 加密文件系统展示
管理控制台的文件系统列表会显示文件系统是否启用加密.
同样在详情页中我们也增加了相应的描述信息
4,NAS 服务创建的 CMK
创建加密文件系统, NAS 服务会在用户的 KMS 创建 NAS 服务专用的 CMK, 用户可以登陆密钥管理服务控制台看到.
# 总结
加密文件系统确保所有落盘的用户数据都是以密文形式存在, 明文数据只可能会在易失的内存, 网络通信中存在, 这将极大的提高用户数据的安全性. 经过我们测试加密功能对的文件系统的性能几乎没有影响.
当前我们只支持新建文件系统启用存储加密, 不支持非加密文件系统转成加密文件系统. 存量文件系统如果要启用存储加密, 需要创建新的加密文件系统并把数据复制过去.
来源: https://yq.aliyun.com/articles/719580