Azure Disk Storageのサーバー側暗号化

Applies to: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一 スケール セット

ほとんどのAzureマネージド ディスクは、Azure Storage暗号化で暗号化されます。この暗号化では、サーバー側暗号化 (SSE) を使用してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たすのに役立ちます。 Azure Storage暗号化では、クラウドに保存するときに、保存Azureマネージド ディスク (OS およびデータ ディスク) に格納されているデータが既定で自動的に暗号化されます。 ただし、ホストで暗号化が有効になっているディスクは、Azure Storageを介して暗号化されません。 ホストでの暗号化が有効になっているディスクの場合、VM をホストしているサーバーはデータの暗号化を提供し、暗号化されたデータはAzure Storageに流れます。

Azureマネージド ディスク内のデータは、使用可能な最も強力なブロック暗号の 1 つである 256 ビット AES 暗号化 を使用して透過的に暗号化され、FIPS 140-2 に準拠しています。 マネージド ディスクAzure基になる暗号化モジュールの詳細については、「Cryptography API: Next Generation

Azure Storage暗号化はマネージド ディスクのパフォーマンスに影響を与えません。また、追加コストも発生しません。 Azure Storage暗号化の詳細については、「Azure Storage encryption」を参照してください。

重要

一時ディスクはマネージド ディスクではなく、ホストで暗号化を有効にしない限り、SSE によって暗号化されません。

バージョン 5 以上Azure VM (Dsv5 や Dsv6 など) では、一時ディスクが自動的に暗号化され、(使用中の場合は) 保存時の暗号化で一時 OS ディスクが暗号化されます。

暗号化キーの管理について

プラットフォーム マネージド キーを利用してお使いのマネージド ディスクを暗号化することも、お使いの独自のキーを使用して暗号化を管理することもできます。 独自のキーを使用して暗号化を管理する場合は、マネージド ディスク内のすべてのデータの暗号化と暗号化解除に使用するカスタマー マネージド キーを指定できます。

以降のセクションでは、キー管理の各オプションについてさらに詳しく説明します。

プラットフォーム管理キー

既定では、マネージド ディスクはプラットフォーム マネージド暗号化キーを使用します。 すべてのマネージド ディスク、スナップショット、イメージ、および既存のマネージド ディスクに書き込まれるデータは、保存時に、プラットフォーム マネージド キーを使用して自動的に暗号化されます。 プラットフォームで管理されるキーは、Microsoftによって管理されます。

カスタマー マネージド キー

ユーザー独自のキーを使用して、各マネージド ディスクのレベルで暗号化を管理できます。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、アクセス制御をより柔軟に管理できます。

カスタマー マネージド キーを格納するには、次のいずれかのAzureキー ストアを使用する必要があります。

• Azure Key Vault (HSM ベースのキー保護に推奨される Premium レベル)
• Azure Key Vault マネージド ハードウェア セキュリティ モジュール (HSM)

RSA キーをKey Vaultにインポートするか、Azure Key Vaultで新しい RSA キーを生成できます。 マネージド ディスクAzure、エンベロープ暗号化を使用して、完全に透過的な方法で暗号化と暗号化解除を処理します。 これは、AES 256 ベースのデータ暗号化キー (DEK) を使用してデータを暗号化します。このキーは、ご使用のキーを使用して保護されます。 ストレージ サービスは、データ暗号化キーを生成し、RSA 暗号化を使用してカスタマー マネージド キーで暗号化します。 エンベロープ暗号化を使用すると、VM に影響を与えることなく、コンプライアンス ポリシーに従って定期的にキーをローテーション (変更) することができます。 キーをローテーションすると、Storage サービスは、新しいカスタマー マネージド キー バージョンでデータ暗号化キーを再ラップします。 基になるディスク データ自体は再暗号化されません。 再折り返しが完了するまで、古いキーバージョンと新しいキーバージョンの両方を有効にしておく必要があります。

マネージド ディスクとKey Vaultまたはマネージド HSM は、同じAzure リージョンに存在する必要がありますが、異なるサブスクリプションに存在する可能性があります。 テナント間のカスタマー マネージド キーでマネージド ディスクを暗号化する場合を除き、これらは同じMicrosoft Entra テナント内に存在する必要があります。

キーのフル コントロール

DEK の暗号化と暗号化解除にキーを使用するには、Key Vaultまたはマネージド HSM のマネージド ディスクへのアクセス権を付与する必要があります。 これにより、データとキーを完全に制御できます。 任意の時点で、キーを無効にしたり、マネージド ディスクへのアクセスを取り消したりすることができます。 また、Azure Key Vault監視を使用して暗号化キーの使用状況を監査して、マネージド ディスクまたはその他の信頼されたAzure サービスのみがキーにアクセスしていることを確認することもできます。

重要

キーが無効、削除、または期限切れになると、そのキーを OS またはデータ ディスクに使用する VM はすべて自動的にシャットダウンされます。 自動シャットダウン後、キーが再度有効になるまで、または新しいキーを割り当てるまで、VM は起動しません。

通常、キーが無効、削除、または期限切れになってから 1 時間後に、ディスク I/O (読み取りまたは書き込み操作) が失敗し始めます。

次の図は、マネージド ディスクがカスタマー マネージド キーを使用してMicrosoft Entra IDとAzure Key Vaultを使用して要求を行う方法を示しています。

マネージド ディスクとカスタマー マネージド キーのワークフローのダイアグラム。管理者がAzure Key Vaultを作成し、ディスク暗号化セットを作成して設定します。セットは VM に関連付けられています。これにより、ディスクはMicrosoft Entra IDを使用して認証を行うことができます。

次の一覧では、図について詳しく説明します。

1. Azure Key Vault管理者がキー コンテナー リソースを作成します。
2. key vault管理者は、RSA キーをインポートしてKey Vaultするか、Key Vaultで新しい RSA キーを生成します。
3. その管理者は、Azure Key Vault ID とキー URL を指定して、ディスク暗号化セット リソースのインスタンスを作成します。 ディスク暗号化セットは、マネージド ディスクのキー管理を簡略化するために導入された新しいリソースです。
4. ディスク暗号化セットが作成されると、 システム割り当てマネージド ID がMicrosoft Entra IDに作成され、ディスク暗号化セットに関連付けられます。
5. Azureキー コンテナー管理者は、キー コンテナーで操作を実行するためのアクセス許可をマネージド ID に付与します。
6. VM ユーザーは、ディスク暗号化セットにディスクを関連付けることによってディスクを作成します。 また、VM ユーザーは、既存のリソースに対するカスタマー マネージド キーを使用したサーバー側の暗号化を、ディスク暗号化セットへのリソースの関連付けによって有効にすることもできます。
7. マネージド ディスクでは、マネージド ID を使用してAzure Key Vaultに要求を送信します。
8. データの読み取りまたは書き込みのために、マネージド ディスクは、データの暗号化と暗号化解除を実行するために、データ暗号化キーを暗号化 (ラップ) および復号化 (ラップ解除) するための要求を Azure Key Vault に送信します。

カスタマー マネージド キーへのアクセスを取り消すには、Azure Key Vault PowerShell および Azure Key Vault CLI を参照してください。 暗号化キーはAzure Storageでアクセスできないので、アクセスを取り消すことで、ストレージ アカウント内のすべてのデータへのアクセスが実質的にブロックされます。

カスタマー マネージド キーの自動キー ローテーション

一般に、カスタマー マネージド キーを使っている場合は、最新のキー バージョンへのキーの自動ローテーションを有効にする必要があります。 キーの自動ローテーションは、キーのセキュリティを確保するのに役立ちます。 ディスクはディスク暗号化セットを介してキーを参照します。 ディスク暗号化セットの自動ローテーションを有効にすると、ディスク暗号化セットを参照するすべてのマネージド ディスク、スナップショット、およびイメージがシステムによって自動的に更新され、1 時間以内に新しいバージョンのキーが使用されます。 キーの自動ローテーションを使用してカスタマー マネージド キーを有効にする方法については、「自動キー ローテーションを使用してAzure Key Vaultと DiskEncryptionSet を設定する」を参照>。

注

Virtual Machinesは、キーの自動ローテーション中に再起動されません。

キーの自動ローテーションを有効にできない場合は、他の方法を使って、キーの有効期限が切れる前にアラートを生成できます。 このようにすると、有効期限が切れる前にキーをローテーションし、ビジネス継続性を維持することができます。 Azure Policy または Azure Event Grid を使用して、キーが間もなく期限切れになったときに通知を送信できます。

制限

現在、カスタマー マネージド キーには次の制限があります。

• 増分スナップショットを含むディスクに対してこの機能が有効になっている場合、そのディスクまたはそのスナップショットでこれを無効にすることはできません。 これを回避するには、カスタマー マネージド キーを使用していないまったく別のマネージド ディスクにすべてのデータをコピーします。 これを行うには、Azure CLI または Azure PowerShell モジュール。
• ディスクとそれに関連付けられたすべての増分スナップショットには、同じディスク暗号化セットが必要です。
• 2,048 ビット、3,072 ビットおよび 4,096 ビットのサイズのソフトウェアと HSM の RSA キーのみがサポートされており、その他のキーまたはサイズはサポートされていません。
  • HSM キーには、Azure Key Vault の premium レベルが必要です。
• Ultra Disks と Premium SSD v2 ディスクの場合のみ:
  • (プレビュー)ユーザー割り当てマネージド ID は、カスタマー マネージド キーで暗号化された Ultra Disks ディスクと Premium SSD v2 ディスクで使用できます。
• お使いのカスタマー マネージド キー (ディスク暗号化セット、VM、ディスク、およびスナップショット) に関連するほとんどのリソースは、同じサブスクリプションとリージョンに存在する必要があります。
  • Azure Key Vault は別のサブスクリプションから使用できますが、ディスク暗号化セットと同じリージョンに存在する必要があります。 マネージド ディスクでは、異なるMicrosoft Entra テナントのAzure Key Vault がサポートされています。 詳細については、 テナント間のカスタマー マネージド キーを使用したマネージド ディスクの暗号化に関するページを参照してください。
• カスタマー マネージド キーで暗号化されたディスクは、アタッチされている VM の割り当てが解除された場合にのみ、別のリソース グループに移動できます。
• カスタマー マネージド キーで暗号化されたディスク、スナップショット、およびイメージは、サブスクリプション間で移動できません。
• Azure Disk Encryptionを使用して現在または以前に暗号化されたマネージド ディスクは、カスタマー マネージド キーを使用して暗号化することはできません。
• サブスクリプションごとに、リージョンに最大で 5000 のディスク暗号化セットのみを作成できます。
• カスタマー マネージド キーを共有イメージ ギャラリーで使用する方法の詳細については、「プレビュー:イメージの暗号化にカスタマー マネージド キーを使用する」を参照してください。

サポートされているリージョン

カスタマー マネージド キーは、マネージド ディスクが使用可能なすべてのリージョンで利用できます。

重要

カスタマー マネージド キーは、Microsoft Entra IDの機能であるAzure リソースのマネージド ID に依存します。 カスタマー マネージド キーを構成すると、内部でマネージド ID がリソースに自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはマネージド ディスクを 1 つのMicrosoft Entra ディレクトリから別のディレクトリに移動した場合、マネージド ディスクに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなる可能性があります。 詳細については、「Microsoft Entra ディレクトリ間でのサブスクリプションの転送を参照してください。

マネージド ディスクに対してカスタマー マネージド キーを有効にするには、Azure PowerShell モジュール、Azure CLI、または Azure ポータルで有効にする方法に関する記事を参照してください。

コード サンプルについては、「CLI でスナップショットからマネージド ディスクを作成する」を参照してください。

ホストでの暗号化 - ご利用の VM データのエンドツーエンド暗号化

ホストで暗号化を有効にすると、その暗号化は VM ホスト自体 (VM が割り当てられているAzure サーバー) で開始されます。 お使いの一時ディスクと OS およびデータ ディスクのキャッシュのデータは、その VM ホストに格納されます。 ホストでの暗号化を有効にした後、このデータはすべて保存時に暗号化され、暗号化された状態で永続化されているストレージ サービスに送られます。 基本的に、ホストでの暗号化では、データがエンドツーエンドで暗号化されます。 ホストでの暗号化では、お使いの VM の CPU が使用されないため、お使いの VM のパフォーマンスには影響しません。

エンドツーエンド暗号化を有効にすると、一時ディスクとエフェメラル OS ディスクは保存時に、プラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、選択されたディスクの暗号化の種類に応じて、カスタマー マネージド キーまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 たとえば、ディスクがカスタマー マネージド キーで暗号化されている場合、そのディスクのキャッシュはカスタマー マネージド キーで暗号化されます。ディスクがプラットフォーム マネージド キーで暗号化されている場合、そのディスクのキャッシュはプラットフォーム マネージド キーで暗号化されます。

制限

• これまでもしくは現在Azure Disk Encryptionが有効になっている仮想マシン (VM) または仮想マシン スケール セットで有効にすることはできません。
• ホストで暗号化が有効になっているディスクでは、Azure Disk Encryptionを有効にすることはできません。
• 暗号化は、既存の仮想マシン スケール セットで有効にすることができます。 しかし、暗号化を有効にした後に作成された新しい VM のみが自動的に暗号化されます。
• 暗号化するには、既存の VM の割り当てを解除して再割り当てする必要があります。

次の制限は、Ultra Disks と Premium SSD v2 にのみ適用されます。

• 512e セクター サイズを使用するディスクは、2023 年 5 月 13 日以降に作成されている必要があります。
  • この日付より前にディスクが作成された場合は、 ディスクのスナップショットを作成し、スナップショットを使用して新しいディスクを作成します。

サポートされる VM のサイズ

サポートされている VM サイズの完全な一覧は、プログラムを使用してプルできます。 それらをプログラムで取得する方法については、Azure PowerShell モジュールまたはAzure CLIに関する記事のサポートされている VM サイズの検索に関するセクションを参照してください。

ホストでの暗号化を使用してエンドツーエンドの暗号化を有効にするには、Azure PowerShell モジュール、Azure CLI、または Azure ポータルで有効にする方法に関する記事を参照してください。

保存時の二重暗号化

特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているセキュリティを重視しているお客様が、プラットフォーム マネージド暗号化キーを使用した別の暗号化アルゴリズムおよびモードをインフラストラクチャ レイヤーで使用し、追加レイヤーでの暗号化を使用することを選択できるようになりました。 この新しいレイヤーは、二重暗号化を使用して保存時に暗号化される、永続化された OS およびデータ ディスク、スナップショット、イメージのすべてに適用できます。

制限

現在、保存時の二重暗号化は、Ultra Disks または Premium SSD v2 ディスクではサポートされていません。

マネージド ディスクの保存時の二重暗号化を有効にするには、「マネージド ディスクで保存時の二重暗号化を有効にする」を参照してください。

ホストでの暗号化とディスク暗号化Azure

Azure Disk Encryption では、Linux の DM-Crypt 機能または BitLocker 機能のいずれかを利用して、ゲスト VM 内 Windowsのカスタマー マネージド キーを使用してマネージド ディスクを暗号化します。 ホストでの暗号化を使用したサーバー側の暗号化が、ADE で向上します。 ホストでの暗号化では、一時ディスクと OS/データ ディスク キャッシュのデータがその VM ホストに格納されます。 ホストでの暗号化を有効にした後、このデータはすべて保存時に暗号化され、暗号化された状態で永続化されているストレージ サービスに送られます。 基本的に、ホストでの暗号化では、データがエンドツーエンドで暗号化されます。 ホストでの暗号化では、お使いの VM の CPU が使用されないため、お使いの VM のパフォーマンスには影響しません。

重要

カスタマー マネージド キーは、Microsoft Entra IDの機能であるAzure リソースのマネージド ID に依存します。 カスタマー マネージド キーを構成すると、内部でマネージド ID がリソースに自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはマネージド ディスクを 1 つのMicrosoft Entra ディレクトリから別のディレクトリに移動した場合、マネージド ディスクに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなる可能性があります。 詳細については、「Microsoft Entra ディレクトリ間でのサブスクリプションの転送を参照してください。

次のステップ

• Azure PowerShell モジュール、Azure CLI、または Azure ポータルを使用して、ホストでの暗号化を使用してエンドツーエンドの暗号化を有効にします。
• マネージド ディスクの保存時の二重暗号化を有効にするには、「マネージド ディスクで保存時の二重暗号化を有効にする」を参照してください。
• Azure PowerShell モジュール、Azure CLI、または Azure ポータルを使用して、マネージド ディスクのカスタマー マネージド キーを有効にします。
• Azure Disk Encryptionからサーバー側の暗号化に変換します
• カスタマー マネージド キーを使用して暗号化されたディスクを作成するためのAzure Resource Manager テンプレートを展開します
• Azure Key Vaultは何ですか?