全部文档
当前文档
最近更新时间:2026-05-21 11:40:37
为满足企业级数据安全与合规需求,您可以开启“文件存储数据加密”功能。该功能为服务端加密,采用行业标准加密算法对文件系统内的所有数据进行加密保护,开启该功能后,NAS会对存储在文件系统中的数据进行加密,访问数据时,NAS自动将加密数据解密后返回给用户。加解密运算全程对客户端透明,客户端无需任何改造即可正常访问数据,在保障数据私密性与完整性的同时,不影响业务的正常读写访问,为您的核心数据构筑一道安全防线。
加密粒度:支持文件系统维度的加密控制,可按需为不同业务的文件系统开启独立加密策略。
支持协议:兼容主流文件共享协议:NFS、CIFS,加密过程对上层业务透明,无需修改客户端配置。
密钥托管:采用系统内置密钥机制,密钥生命周期由平台安全托管,降低用户自建密钥体系的运维成本。
加密算法:提供多算法可选方案(XTS-AES-128、XTS-AES-256、XTS-SM4),创建文件系统时选定后不支持修改。
合规性保障:满足金融、政务、医疗等行业对静态数据加密的合规管控要求,国密算法适配国内审计场景。
数据防泄露:即使底层存储介质发生物理泄露,加密数据也无法被直接读取,从根源上保护数据安全。
业务无感知:加解密过程由服务端自动完成,客户端无需改造,硬件加速引擎将性能损耗控制在可接受范围内。
灵活适配需求:支持国际通用算法与国密算法,可根据业务场景、合规要求自由选择,满足不同等级的安全防护需求。
算法 | 算法特点 | 适用场景 | |
|---|---|---|---|
国标算法 | XTS-AES-128 |
|
|
XTS-AES-256(推荐) |
|
| |
国密算法 | XTS-SM4 |
|
|
文件系统创建时启用:新建文件系统时,可直接指定是否开启加密功能,同时选择所需的加密算法。已开启数据加密功能的文件系统不能关闭此功能,也无法修改加密算法,请根据业务长期规划提前选定。
状态可视化管理:支持在文件系统详情页、列表页快速查看加密状态,便于批量管理。
使用限制:存量文件系统暂不支持后开启加密,需通过新建加密文件系统并迁移数据实现。
计费策略:当前加密功能不计费。
加密功能当前仅以白名单形式在部分区域开放支持。如您的业务需要在特定区域使用该功能,请提前 1 个月通过工单形式向我们发起需求申请,我们将为您评估并开通对应区域的白名单权限。
采用行业标准的双层密钥保护机制,保障密钥与数据的双重安全:
AK:
AK配置在租户上,用于身份认证。
认证原理:当对管理帐户开启加密时,会从密管服务获取AK,用于控制对加密文件系统实例的数据访问。因为DEK使用AK加密防护,所以只能由存储系统本身访问。系统接入后,会从密管服务获取帐户的AK,如果与保护DEK的AK匹配,就会将加密后的DEK解密,用于数据解密。如果AK与保护数据密钥的AK不匹配,则无法解密出正确的数据明文。
DEK:
DEK配置在文件系统实例上,用于加密解密用户数据。
加解密原理:当对开启加密的文件系统实例进行读写时,加密引擎使用XTS-AES/XTS-SM4算法和DEK完成写入数据的加密和读取数据的解密功能。不借助DEK解密、直接读取的方式无法还原数据明文信息。
文件客户端向文件系统写入明文数据。
存储加密服务组件通过密钥管理服务,获取身份认证密钥 AK,并解密得到数据加密密钥 DEK。
加密引擎使用 DEK,结合您选定的加密算法(XTS-AES/XTS-SM4),将明文数据加密为密文数据。
加密后的密文数据被持久化写入底层存储池,完成静态加密。
文件客户端向文件系统发起数据读取请求。
存储加密服务组件通过密钥管理服务,获取身份认证密钥 AK,并解密得到数据加密密钥 DEK。
加密引擎使用 DEK,结合对应加密算法,将从存储池读取的密文数据解密为明文数据。
协议层将解密后的明文数据返回给客户端,整个过程对业务透明无感知。
加密引擎为数据加解密提供底层能力,支持 CPU 指令级硬件加速,提升 XTS-AES/XTS-SM4 算法的执行性能,降低加密对业务读写的性能影响:
写入时:数据明文通过内置加密引擎,使用您配置的加密算法加密为密文后,再写入底层存储介质。
读取时:介质中的密文数据被读出后,通过内置加密引擎解密为明文,再返回给客户端应用。
因数据在读写时需进行加解密运算操作,开启加密功能后,文件系统性能预计会产生 10% - 15% 的性能损耗。请您根据业务对性能及安全性的实际需求,综合评估后决定是否开启。
纯净模式
