Azure Elastic SAN の暗号化について
Azure Elastic SAN では、サーバー側暗号化 (SSE) を使って、Elastic SAN に格納されているデータが自動的に暗号化されます。 SSE によってお客様のデータが保護され、組織のセキュリティとコンプライアンスの要件を満たすことができます。
Azure Elastic SAN ボリューム内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。 Azure データ暗号化の基になっている暗号化モジュールについて詳しくは、「Cryptography API: 次世代」を参照してください。
SSE は既定で有効になっており、無効にすることはできません。 SSE を無効にすることはできませんが、Elastic SAN のパフォーマンスが影響を受けることはなく、関連する追加コストもありません。
暗号化キーの管理について
使用できる暗号化キーには、プラットフォーム マネージド キーとカスタマー マネージド キーの 2 種類があります。 Elastic SAN ボリュームに書き込まれるデータは、既定でプラットフォーム マネージド (Microsoft マネージド) キーを使って暗号化されます。 組織にセキュリティとコンプライアンスに関する特定の要件がある場合は、必要に応じて、代わりにカスタマー マネージド キーを使用できます。
ボリューム グループを構成する場合は、プラットフォーム マネージド キーとカスタマー マネージド キーのどちらを使うかを選択できます。 ボリューム グループ内のすべてのボリュームは、そのボリューム グループの構成を継承します。 カスタマー マネージド キーとプラットフォーム マネージド キーは、いつでも切り替えることができます。 これらのキーの種類を切り替えると、Elastic SAN サービスは新しい KEK でデータ暗号化キーを再暗号化します。 データ暗号化キーの保護は変わりますが、Elastic SAN ボリューム内のデータは常に暗号化されたままです。 データの保護を確保するために、お客様が追加のアクションを実行する必要はありません。
カスタマー マネージド キー
カスタマー マネージド キーを使う場合は、それを保存するためにいずれかの Azure Key Vault を使用する必要があります。
独自の RSA キーを作成してインポートし、Azure Key Vault に保存することも、Azure Key Vault を使って新しい RSA キーを生成することもできます。 Azure Key Vault の API または管理インターフェイスを使ってキーを生成できます。 Elastic SAN とキー コンテナーは異なるリージョンやサブスクリプションにあってもかまいませんが、同じ Microsoft Entra ID テナントに存在する必要があります。
次の図は、Azure Elastic SAN で Microsoft Entra ID とキー コンテナーを使用し、カスタマー マネージド キーを使って要求を行う方法を示しています。
次の一覧では、図の番号付きの手順について説明します。
- Azure Key Vault 管理者が、暗号化キーを含むキー コンテナーにアクセスするためのアクセス許可をマネージド ID に付与します。 マネージド ID は、お客様が作成して管理するユーザー割り当て ID か、ボリューム グループに関連付けられているシステム割り当てマネージド ID のいずれかです。
- Azure Elastic SAN ボリューム グループ所有者が、ボリューム グループのカスタマー マネージド キーを使って暗号化を構成します。
- Azure Elastic SAN が、ステップ 1 でアクセス許可を付与したマネージド ID を使って、Microsoft Entra ID 経由でキー コンテナーへのアクセスの認証を行います。
- Azure Elastic SAN が、キー コンテナーのカスタマー マネージド キーを使ってデータ暗号化キーをラップします。
- 読み取り操作や書き込み操作を行う場合は、Azure Elastic SAN が Azure Key Vault に要求を送信してアカウント暗号化キーをラップ解除し、暗号化と暗号化解除の操作を実行します。