Шифрование в Compute Cloud
По умолчанию все данные на дисках Compute Cloud шифруются на уровне базы данных хранилища с помощью системного ключа. Это позволяет защитить данные от компрометации в случае физической кражи дисков из дата-центров Yandex Cloud. Подробнее см. Защита данных.
Рекомендуем также использовать шифрование дисков, снимков и образов с помощью пользовательских симметричных ключей Yandex Key Management Service. Такой подход позволяет:
- защищаться от потенциальных угроз нарушения изоляции и компрометации данных на уровне виртуальной инфраструктуры;
- контролировать шифрование и жизненный цикл ключей KMS, а также управлять ими, см. Управление ключами;
- повысить уровень контроля доступа к данным на диске за счет необходимости прав на ключ KMS, см. Настройка прав доступа к симметричному ключу шифрования;
- отслеживать операции шифрования и расшифрования вашим ключом KMS с помощью сервиса Yandex Audit Trails, см. Аудит использования ключей.
Вы можете зашифровать диски следующих типов:
- Сетевой SSD-диск (
network-ssd). - Сетевой HDD-диск (
network-hdd). - Нереплицируемый SSD-диск (
network-ssd-nonreplicated). - Сверхбыстрое сетевое хранилище с тремя репликами (SSD) (
network-ssd-io-m3).
Подробнее см. Типы дисков.
Важно
Задать настройки шифрования можно только при создании диска. Шифрование диска нельзя будет отключить или изменить. Также нельзя будет включить шифрование для уже созданного диска.
Шифрование в Compute Cloud доступно с помощью консоли управления, CLI и API.
Варианты шифрования
Варианты создания зашифрованных ресурсов Compute Cloud, а также особенности использования ключей KMS:
| Конечный ресурс | Исходный ресурс | Ключ | Примечание |
|---|---|---|---|
| Пустой зашифрованный диск | — | Любой | См. Создать пустой диск. |
| Зашифрованный диск | Незашифрованный образ | Любой | См. Восстановить диск с помощью образа.Также с помощью образа можнозашифровать существующие диски и снимки. |
| Зашифрованный диск | Зашифрованный образ | Ключ образа | См. Восстановить диск с помощью образа.Также с помощью зашифрованногообраза можно сделать копиюзашифрованного диска. |
| Зашифрованный диск | Незашифрованный снимок | Любой | См. Восстановить диск с помощью снимка. |
| Зашифрованный диск | Зашифрованный снимок | Ключ снимка | См. Восстановить диск с помощью снимка. |
| Зашифрованный образ | Зашифрованный диск | Ключ диска | См. Создать образ из диска. |
| Зашифрованный снимок | Зашифрованный диск | Ключ диска | См. Создать снимок диска. |
Использование пользовательских ключей
Использование пользовательских ключей KMS для шифрования дисков и снимков позволяет гранулярнее контролировать доступ к зашифрованным данным: создавать ключи под конкретного пользователя или задачу, своевременно деактивировать или удалять конкретные ключи.
Если деактивировать ключ, которым были зашифрованы диск, снимок или образ, доступ к данным будет приостановлен, пока ключ не будет снова активирован.
Внимание
Если удалить ключ или его версию, которыми были зашифрованы диск, снимок или образ, доступ к данным будет безвозвратно потерян. Подробнее см. Удаление версии ключа.
Чтобы использовать шифрование в Compute Cloud, у пользователя должна быть роль kms.keys.user или kms.admin на ключ, который используется для шифрования. Данные роли позволяют:
- создавать зашифрованный диск;
- создавать ВМ с зашифрованным диском;
- подключать зашифрованный диск к существующей ВМ;
- выполнять операции старта и рестарта ВМ с зашифрованным диском.
Подробнее см. Управление доступом.