数据完整性
数据完整性是指数据在存储和传输过程中保持准确和一致,未被未经授权的修改或损坏。天翼云通过以下几种技术确保数据的完整性。
数据三副本技术
数据三副本技术是一种在分布式存储系统中使用的数据冗余技术。它的原理是将数据分块后的三个副本保存在集群中不同的节点上,以提高数据的可靠性和容错性。
数据三副本技术的基本原理如下:
数据复制:当数据被写入分布式存储系统时,系统会自动将该数据分块并复制为三个副本。
副本分布:这三个副本将分散存储在不同的物理节点或存储设备上,以减少副本之间的关联性。这样,即使某个存储节点或设备发生故障,其他节点上的副本仍然可用。
容错和数据恢复:如果一个副本不可用或损坏(例如由于存储节点故障或硬件故障),系统可以使用其他副本中的数据来实现容错和数据恢复。系统会自动检测并修复副本中的数据错误或丢失。
使用天翼云云硬盘将自动开启数据三副本技术以保证数据可靠性。
数据擦除机制
数据擦除机制是指分布式块存储系统中已删除的数据一定会被完全擦除,不会被其他用户通过任何途径访问,也无法通过其他方式恢复,进而确保数据的完整性。
当删除/退订云硬盘时,存储系统立即销毁元数据,确保无法继续访问数据。同时,该云盘对应的物理存储空间会被回收。物理空间再次被分配前一定是清零过的,在首次写入数据前,所有新建的云盘的读取返回全部是零。
CRC校验
天翼云在数据传输和存储过程中采用循环冗余校验(CRC)技术,对数据进行完整性校验。通过 CRC 校验,可以检测到数据在传输或存储过程中是否发生了错误或损坏,从而确保数据的完整性和一致性。
数据机密性
数据机密性是指数据只能被授权用户访问,防止数据泄露或未经授权的使用。天翼云通过以下几种措施与功能确保数据的机密性。
加密存储
天翼云提供加密云盘功能,用户可以选择对云盘和快照进行加密。加密云盘使用行业标准的 AES-256 算法对数据进行加密,确保数据在存储过程中的机密性。即使云盘或快照丢失,加密数据也无法被未经授权的用户读取。从加密云硬盘创建的快照、备份默认加密。
加密镜像
天翼云提供镜像加密功能,可使用KMS对镜像进行加密,避免镜像丢失后数据泄露风险。用户可选择创建加密的系统盘、数据盘,如果云盘是加密云盘,使用该云盘创建的镜像也是加密镜像,或者在对已有的未加密镜像拷贝时选择加密,生成的新镜像为加密镜像。如果私有加密镜像需要共享给其他天翼云账号时,建议优先对加密镜像进行解密复制后,再进行解密镜像共享,避免KMS密钥泄露导致安全风险。
网络传输加密
天翼云支持通过 VPN 连接和 HTTPS 协议对数据进行加密传输。
天翼云VPN连接(CT-VPN,Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。根据使用的加密协议不同,VPN连接可以提供IPsec VPN和SSL VPN两种连接方式。
IPsec VPN
通过使用加密算法在不同的网络之间建立加密的安全隧道。默认情况下,在VPC中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用IPsec VPN功能。
SSL VPN
基于互联网线路,通过SSL加密通道将用户终端与天翼云VPC建立安全可靠连接的服务,满足客户便捷接入VPC的需求。
HTTPS是基于TLS/SSL协议对HTTP传输数据进行加密,能够有效防止数据被监听、截取和篡改。天翼云云主机默认支持使用HTTPS进行加密传输,并提供256位密钥的传输加密强度,满足敏感信息加密的传输要求。
计算环境加密
天翼云的可信计算技术为用户提供了一个安全的计算环境。可信计算是实现云租户计算环境高级安全的重要功能之一。通过可信虚拟化技术(vTPM),天翼云构建了一个从系统启动到运行阶段的全方位可信保障机制。这种技术可以有效防止恶意软件和攻击者对计算环境的篡改,确保数据在处理过程中的机密性和完整性。
数据可用性
数据可用性是指数据在需要时能够被快速、准确地访问和恢复。天翼云通过以下措施与功能确保数据的可用性。
云硬盘快照
天翼云的云盘快照功能允许用户定期创建云盘的快照,作为数据的备份。快照是云盘在特定时间点的数据副本,用户可以通过快照快速恢复数据,确保数据的可用性。快照的创建和恢复过程简单快捷,不会对业务造成影响。您可以提前创建快照,从而保存指定时刻的云硬盘数据,提高操作的容错率。
快照恢复数据
云硬盘快照是一种数据备份方式,可以备份或者恢复整个云硬盘的数据,常用于数据备份、制作镜像、应用容灾等场景。当发生误操作或系统故障等问题时,可以使用已创建的快照来回滚数据,使云硬盘的数据恢复至创建快照的时刻,实现云硬盘数据的恢复。
多可用区部署
天翼云支持多可用区部署,用户可以将数据和应用部署在不同的可用区,以提高数据的可用性和容灾能力。在发生故障时,系统可以自动将流量切换到其他可用区,确保业务的连续性。多可用区部署还可以有效防止因单点故障导致的数据丢失和业务中断。
