云服务器内容精选

  • 功能介绍 透明 数据加密 (TDE)是指加密 GaussDB (DWS)的数据文件。 通常在数据库的安全防护措施里面,可以采取一些消减措施来帮助保护数据安全。例如,设计一个安全系统、加密机密资产以及在数据库服务器的周围构建防火墙。 但是,如果遇到物理介质(如硬盘)被黑客或者内部人员盗取的情况,恶意破坏方只需还原或附加数据库即可浏览用户数据。 有一种解决方案是加密数据库中的敏感数据,并保护加密数据的密钥,该方案可以防止任何没有密钥的人使用这些数据,但这种保护必须事先计划。GaussDB(DWS)提供了完整的解决方案TDE。 TDE可对数据实时I/O加密和解密,只要打开透明加密开关,对正常使用的用户是无感知的。 这种加密使用数据库加密密钥 (DEK),该密钥不会直接存储在数据库系统中。 DEK是使用存储在KMS服务器的集群密钥(CEK)保护的对称密钥,数据库服务器仅仅保存其密文。在数据库启动阶段,数据库连接KMS服务器,并且解密DEK密文,从而获取到密钥明文,缓存在内存中。一旦机器下电或者集群关闭,密钥将会被清理。因此,需要保护好集群中的密钥文件,因为一旦丢失,则会造成不可恢复的危害。
  • 使用场景 传统数据库集群中,用户数据明文保存在行存/列存文件中,集群的维护人员或者恶意攻击者可在OS层面绕过数据库的权限控制机制或者窃取磁盘直接访问用户数据。GaussDB(DWS)通过对接华为云数据加密服务的密钥管理KMS,可实现数据的透明加密,保障用户数据安全。 GaussDB(DWS)数据库级透明加密,每个GaussDB(DWS)集群有一个CEK,每个数据库单独配置DEK加密保护,DEK使用CEK加密保护,保存在GaussDB(DWS)集群侧。密钥通过KMS服务申请和加解密,加密算法通过配置项统一配置。目前支持AES、SM4算法。 当前支持数据库级别的透明加密,在创建集群的时候进行加密配置。 了解更多请参见数据库加密简介。
  • 主机安全 主机安全服务(Host Security Service,HSS)是提升服务器整体安全性的服务,为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能,降低服务器被入侵的风险。 在弹性云服务器中安装Agent后,云服务器受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 主机安全服务的组件功能及工作流程说明如下: 安全控制台: 可视化的管理平台,便于您集中下发配置信息,查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心: 接收您在控制台下发的配置信息和检测任务,并转发给安装在服务器上的Agent。 接收Agent上报的主机信息,分析主机中存在的安全风险和异常信息,将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端: 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器,并将事件扫描信息上报给HSS云端防护中心。 您在使用主机安全服务前,需要先在云服务器上安装客户端。更多信息,请参考主机安全。 父主题: 数据保护技术
  • 内存隔离 Hypervisor通过内存虚拟化技术来实现不同虚拟机之间的内存隔离。内存虚拟化技术在传统OS两层地址映射(“虚拟地址”到“机器地址”)的基础上,引入三层地址映射:虚拟机负责将“Guest虚拟地址”映射为“Guest物理地址”,然后Hypervisor负责将“虚拟机物理地址”映射成“机器地址”,再交由物理处理器来执行,保证了虚拟机无法直接接触实际的机器地址,只能访问Hypervisor分配给它的物理内存。
  • CPU隔离 X86架构为了保护指令的运行,提供了指令的4个不同特权级别,术语称为Ring,优先级从高到低依次为: Ring 0:被用于运行操作系统内核。 Ring 1:用于操作系统服务。 Ring 2:用于特权代码(具有I/O访问权限的用户程序)。 Ring 3:用于应用程序。 各个级别对可以运行的指令进行限制: Hypervisor运行在Ring0。 虚拟机操作系统运行在Ring 1,有效地防止了虚拟机Guest OS直接执行所有特权指令。 应用程序运行在Ring 3上,保证了操作系统与应用程序之间的隔离。 CPU硬件辅助虚拟化的引入进一步实现了Hypervisor和虚拟机操作系统运行模式的深度隔离。
  • 关于密钥 加密所需的密钥依赖于数据加密服务(DEW,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key,DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key,CMK)对DEK进行加密,保护DEK,如图1所示。 图1 数据加密过程 数据加密过程中涉及的几种密钥,如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK,是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。 支持禁用、计划删除等操作。 默认密钥 属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。 例如:evs/default 支持通过管理控制台DEW页面查询默认密钥详情。 不支持禁用、计划删除等操作。 如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。 关于密钥管理的更多信息,请参见《数据加密服务用户指南》。
  • 关于密钥 加密所需的密钥依赖于数据加密服务(DEW,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key,DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key,CMK)对DEK进行加密,保护DEK,如图1所示。 图1 数据加密过程 数据加密过程中涉及的几种密钥,如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK,是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。 支持禁用、计划删除等操作。 默认密钥 属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。 例如:evs/default 支持通过管理控制台DEW页面查询默认密钥详情。 不支持禁用、计划删除等操作。 如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。 关于密钥管理的更多信息,请参见《数据加密服务用户指南》。
  • 关于密钥 加密所需的密钥依赖于数据加密服务(DEW,Data Encryption Workshop)。DEW通过数据加密密钥(Data Encryption Key,DEK),对具体资源进行加密,然后通过用户主密钥(Customer Master Key,CMK)对DEK进行加密,保护DEK,如图1所示。 图1 数据加密过程 数据加密过程中涉及的几种密钥,如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK,是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。 支持禁用、计划删除等操作。 默认密钥 属于用户主密钥,是用户第一次通过对应云服务使用DEW加密时,系统自动生成的,其名称后缀为“/default”。 例如:evs/default 支持通过管理控制台DEW页面查询默认密钥详情。 不支持禁用、计划删除等操作。 如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获取密钥,会导致挂载失败,云硬盘不可用。 关于密钥管理的更多信息,请参见《数据加密服务用户指南》。