【防止未授权存取与资料外洩】公有云区块储存的加密功能

资料来源：iThome

除了快照，加密是公有云区块储存服务另一重要的资料服务功能，可以防止区块磁碟区遭到未授权的存取。

目前几乎所有公有云服务商，都能为旗下区块储存服务提供免费的加密功能，且不会影响存取效能，用户需注意的重点，包括这几个面向：

● 加密涵盖的範围：有些服务商的加密功能，可以涵盖包括开机系统磁碟区、资料磁碟区与快照在内的所有储存区（如AWS与Azure），有些则只能加密资料磁碟区与其快照，而不能加密系统磁碟区（如阿里云）。

● 加密技术：所有公有云服务商的加密功能，都是基于AES 256位元加密技术，这也是当前业界的标準

● 静态加密（Encryption at rest）：加密区块磁碟区中的静态资料，这是最基本的加密功能，所有公有云服务商都能提供。

● 传输中加密（Encryption in transit）：也就是执行个体/虚拟机器与区块磁碟区之间传输资料时的加密，对于公有云环境来说，执行个体/虚拟机器与区块磁碟区是各自独立，分别位于不同实体环境中，因此，执行个体存取区块磁碟区时，涉及了一系列传输环节与过程，连带也形成了安全上的隐患，而透过「传输中加密」功能，将可防止传输过程中的资料外洩。

目前除了IBM Cloud以外，其他主要公有云服务商都为区块储存服务，提供了传输中加密功能。

● 金钥的管理：公有云区块储存加密功能的金钥管理，包括由公有云服务商管理金钥、用户自行管理金钥，以及独立的金钥管理服务（Key Management Service，KMS）等3类，目前除IBM Cloud外，其他主要公有云服务商的区块储存加密功能，都能支援这3类金钥管理方式，有一些服务商自身还能提供专门的KMS托管服务，可以与区块储存服务的加密功能相互配合（如AWS的KMS，以及阿里云的KMS等），简化用户的金钥管理。

 相关报导  透视公有云区块储存服务