利用對象存儲多種方式 保障OSS數據安全

本文介紹如何經過對象存儲OSS提供的加密、訪問控制、日誌與監控及數據保護等多種方式來保障OSS的數據安全性。

加密

OSS提供服務器端加密、客戶端加密以及數據傳輸加密三種數據加密方式。

• 服務器端加密

OSS經過服務器端加密機制，提供靜態數據保護。適合於對於文件存儲有高安全性或者合規性要求的應用場景。例如，深度學習樣本文件的存儲、在線協做類文檔數據的存儲。

說明：有關服務器端加密原理的更多信息，請參考原理介紹。

針對不一樣的應用場景，OSS有以下三種服務器端加密方式：

• 使用OSS默認託管的KMS密鑰（SSE-KMS）

您能夠將Bucket默認的服務器端加密方式設置爲KMS且不指定具體的CMK ID，也能夠在上傳Object或修改Object的meta信息時，在請求中攜帶X-OSS-server-side-encryption並指定其值爲KMS且不指定具體的CMK ID。OSS將使用默認託管的CMK生成不一樣的密鑰來加密不一樣的對象，而且在下載時自動解密。

• 使用BYOK進行加密（SSE-KMS BYOK）

服務器端加密支持使用BYOK進行加密，您能夠將Bucket默認的服務器端加密方式設置爲KMS並指定具體的CMK ID，也能夠在上傳Object或修改Object的meta信息時，在請求中攜帶X-OSS-server-side-encryption，指定其值爲KMS，並指定X-OSS-server-side-encryption-key-id爲具體的CMK ID。OSS將使用指定的CMK生成不一樣的密鑰來加密不一樣的對象，並將加密Object的CMK ID記錄到對象的元數據中，所以具備解密權限的用戶下載對象時會自動解密。

• 使用OSS徹底託管加密（SSE-OSS）

基於OSS徹底託管的加密方式，是Object的一種屬性。OSS服務器端加密使用AES256加密每一個對象，併爲每一個對象使用不一樣的密鑰進行加密，做爲額外的保護，它將使用按期輪轉的主密鑰對加密密鑰自己進行加密。

• 客戶端加密

客戶端加密是指將數據發送到OSS以前在用戶本地進行加密，對於數據加密密鑰的使用，目前支持以下兩種方式：

• 使用KMS託管用戶主密鑰

當使用KMS託管用戶主密鑰用於客戶端數據加密時，無需向OSS加密客戶端提供任何加密密鑰。只須要在上傳對象時指定KMS用戶主密鑰ID（也就是CMK ID）。其具體工做原理以下圖所示。

• 使用用戶自主管理密鑰

使用用戶自主管理密鑰，須要用戶自主生成並保管加密密鑰。當用戶本地客戶端加密時，由用戶自主上傳加密密鑰（對稱加密密鑰或者非對稱加密密鑰）至本地加密客戶端。其具體加密過程以下圖所示。

• 數據傳輸加密

OSS支持經過HTTP或HTTPS的方式訪問，但您能夠在Bucket Policy中設置僅容許經過HTTPS（TLS）來訪問OSS資源。安全傳輸層協議（TLS）用於在兩個通訊應用程序之間提供保密性和數據完整性。

訪問控制

OSS提供了多種權限控制方式，包括ACL、RAM Policy和Bucket Policy。

• ACL：OSS爲權限控制提供訪問控制列表（ACL）。ACL是基於資源的受權策略，可授予Bucket和Object訪問權限。您能夠在建立Bucket或上傳Object時設置ACL，也能夠在建立Bucket或上傳Object後的任意時間內修改ACL。
• RAM Policy：RAM（Resource Access Management）是阿里雲提供的資源訪問控制服務。RAM Policy是基於用戶的受權策略。經過設置RAM Policy，您能夠集中管理您的用戶（好比員工、系統或應用程序），以及控制用戶能夠訪問您名下哪些資源的權限。好比可以限制您的用戶只擁有對某一個 Bucket 的讀權限。子帳號是從屬於主帳號的，而且這些帳號下不能擁有實際的任何資源，全部資源都屬於主帳號。
• Bucket Policy：Bucket Policy是基於資源的受權策略。相比於RAM Policy，Bucket Policy操做簡單，支持在控制檯直接進行圖形化配置，而且Bucket擁有者直接能夠進行訪問受權，無需具有RAM操做權限。Bucket Policy支持向其餘帳號的RAM用戶授予訪問權限，以及向匿名用戶授予帶特定IP條件限制的訪問權限。

日誌與監控

OSS提供訪問日誌存儲及實時日誌查詢服務，便於您從多個維度來對日誌進行細化跟蹤。此外，OSS提供的監控服務，幫助您更好的瞭解OSS服務的運行狀態並進行自主診斷和故障排除。

• 訪問日誌查詢

您在訪問OSS的過程當中，會產生大量的訪問日誌。日誌存儲功能，可將OSS的訪問日誌，以小時爲單位，按照固定的命名規則，生成一個Object寫入您指定的Bucket（目標 Bucket，Target Bucket）。您可使用阿里雲DataLakeAnalytics或搭建Spark集羣等方式對這些日誌文件進行分析。同時，您能夠配置目標Bucket的生命週期管理規則，將這些日誌文件轉成歸檔存儲，長期歸檔保存。有關OSS訪問日誌的更多信息，請參考訪問日誌存儲。

• 實時日誌查詢

實時日誌查詢功能將OSS與日誌服務（LOG）相結合， 容許您在OSS控制檯直接查詢OSS訪問日誌，幫助您完成OSS訪問的操做審計、訪問統計、異常事件回溯和問題定位等工做，提高您的工做效率並更好地幫助您基於數據進行決策。有關實時日誌查詢的更多信息，請參考實時日誌查詢。

• 監控服務

OSS監控服務爲您提供系統基本運行狀態、性能以及計量等方面的監控數據指標，而且提供自定義報警服務，幫助您跟蹤請求、分析使用狀況、統計業務趨勢，及時發現以及診斷系統的相關問題。有關監控服務的更多信息，請參考監控服務概覽。

數據保護

OSS提供合規保留策略、同城冗餘存儲及版本控制等特性來保障OSS的數據安全性。

• 合規保留策略

OSS現已全面支持WORM（一次寫入，屢次讀取）特性，容許用戶以「不可刪除、不可篡改」方式保存和使用數據。

OSS提供強合規策略，用戶可針對存儲空間（Bucket）設置基於時間的合規保留策略。當策略鎖定後，用戶能夠在Bucket中上傳和讀取文件（Object），可是在Object的保留時間到期以前，任何用戶都沒法刪除Object和策略。Object的保留時間到期後，才能夠刪除Object。OSS支持的WORM特性，適用於金融、保險、醫療、證券等行業。您能夠基於OSS搭建「雲上數據合規存儲空間」。

有關合規保留策略的更多信息，請參考合規保留策略。

• 同城冗餘存儲

OSS採用多可用區（AZ）機制，將用戶的數據分散存放在同一地域（Region）的3個可用區。當某個可用區不可用時，仍然可以保障數據的正常訪問。OSS同城冗餘存儲（多可用區）是基於99.9999999999%（12個9）的數據可靠性設計，而且可以提供99.995%的數據設計可用性 。

OSS的同城冗餘存儲可以提供機房級容災能力。當斷網、斷電或者發生災難事件致使某個機房不可用時，仍然可以確保繼續提供強一致性的服務能力，整個故障切換過程用戶無感知，業務不中斷、數據不丟失，能夠知足關鍵業務系統對於「恢復時間目標（RTO）」以及「恢復點目標（RPO）」等於0的強需求。

有關同城冗餘存儲的更多信息，請參考同城冗餘存儲。

• 版本控制

開啓存儲空間（Bucket）版本控制特性後，針對數據的覆蓋和刪除操做將會以歷史版本的形式保存下來。經過文件（Object）的版本管理，用戶在錯誤覆蓋或者刪除Object後，可以將Bucket中存儲的Object恢復至任意時刻的歷史版本。

說明版本控制特性將在近期推出，敬請期待。

版本控制應用於Bucket內的全部Object。當第一次針對Bucket開啓版本控制後，該Bucket中全部的Object將在以後一直受到版本控制，而且每一個版本都具備惟一的版本ID。

Bucket開啓版本控制後，針對文件的每次覆蓋都會生成一個歷史版本，而且針對每一個版本進行收費。您能夠經過生命週期規則自動刪除過時版本。

本文來自 阿里雲文檔中心安全白皮書

查看更多：雲棲號詳情頁

上雲就看雲棲號：更多雲資訊，上雲案例，最佳實踐，產品入門，訪問：雲棲號 - 上雲就看雲棲號

本文爲阿里雲原創內容，未經容許不得轉載。