マネージド ディスク暗号化オプションの概要
マネージド ディスクに使用できる暗号化の種類は、Azure Disk Encryption (ADE)、サーバー側暗号化 (SSE)、ホストでの暗号化など、さまざまなものがあります。
Azure Disk Storage のサーバー側暗号化 (保存時の暗号化または Azure Storage 暗号化とも呼ばれます) は常に有効になっていて、Azure マネージド ディスク (OS およびデータ ディスク) 上の格納データが、記憶域クラスターに保持されるときに自動的に暗号化されます。 ディスク暗号化セット (DES) を使用して構成すると、カスタマー マネージド キーもサポートされます。 一時ディスクやディスク キャッシュは暗号化されません。 詳細については、「Azure Disk Storage のサーバー側暗号化」を参照してください。
ホストでの暗号化は、Azure Disk Storage のサーバー側暗号化を拡張した仮想マシンのオプションであり、すべての一時ディスクとディスク キャッシュが保存時に暗号化され、暗号化された状態で記憶域クラスターに送られます。 すべての詳細については、「ホストでの暗号化 - VM データのエンドツーエンド暗号化」を参照してください。
Azure Disk Encryption は、データを保護して、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。 ADE では、Linux の DM-Crypt 機能または Windows の BitLocker 機能を使用して、VM 内で、Azure 仮想マシン (VM) の OS およびデータ ディスクを暗号化します。 ADE は Azure Key Vault と統合されています。これにより、キー暗号化キー (KEK) で暗号化するオプションを使用して、ディスク暗号化キーとシークレットを制御および管理できます。 詳細については、「Linux VM に対する Azure Disk Encryption」または「Windows VM 用の Azure Disk Encryption」を参照してください。
機密のディスク暗号化では、ディスク暗号化キーを仮想マシンの TPM にバインドし、保護されたディスク コンテンツを VM のみがアクセスできるようにします。 TPM と VM のゲスト状態は常に、ハイパーバイザーとホスト オペレーティング システムをバイパスするセキュリティで保護されたプロトコルによって発行されたキーを使用して、構成証明されたコードで暗号化されます。 現時点では、OS ディスクに対してのみ使用できます。一時ディスクのサポートはプレビュー段階です。 ホストでの暗号化は、機密のディスク暗号化に加えて、機密の VM 上の他のディスクにも使用できます。 詳細については、「DCasv5 と ECasv5 シリーズの機密 VM」を参照してください。
暗号化はセキュリティに対する多層アプローチの一部であり、仮想マシンとディスクをセキュリティで保護するには他の推奨事項と併用する必要があります。 詳細については、「Azure の仮想マシンについてのセキュリティに関する推奨事項」およびマネージド ディスクに対するインポートおよびエクスポートのアクセスの制限に関するページを参照してください。
比較
Disk Storage SSE、ADE、ホストでの暗号化、機密ディスク暗号化の比較を次に示します。
| Azure Disk Storage のサーバー側暗号化 | ホストでの暗号化 | Azure Disk Encryption | 機密のディスク暗号化 (OS ディスクの場合のみ) | |
|---|---|---|---|---|
| 保存時の暗号化 (OS およびデータ ディスク) | ✅ | ✅ | ✅ | ✅ |
| 一時ディスクの暗号化 | ❌ | ✅ プラットフォーム マネージド キーでのみサポートされます | ✅ | ✅プレビュー |
| キャッシュの暗号化 | ❌ | ✅ | ✅ | ✅ |
| コンピューティングとストレージ間で暗号化されたデータ フロー | ❌ | ✅ | ✅ | ✅ |
| お客様によるキーの制御 | ✅ DES で構成されている場合 | ✅ DES で構成されている場合 | ✅ KEK で構成されている場合 | ✅ DES で構成されている場合 |
| HSM のサポート | Azure Key Vault Premium および Managed HSM | Azure Key Vault Premium および Managed HSM | Azure Key Vault Premium | Azure Key Vault Premium および Managed HSM |
| VM の CPU を使用していない | ✅ | ✅ | ❌ | ❌ |
| カスタム イメージに対して機能する | ✅ | ✅ | ❌ カスタムの Linux イメージには機能しません | ✅ |
| 拡張キー保護 | ❌ | ❌ | ❌ | ✅ |
| Microsoft Defender for Cloud でのディスク暗号化の状態* | 異常 | Healthy | Healthy | 適用できません |
重要
機密のディスク暗号化の場合、現在、Microsoft Defender for Cloud について該当する推奨事項はありません。
* Microsoft Defender for Cloud には、ディスク暗号化に関する次の推奨事項があります。
- 仮想マシンと仮想マシン スケール セットについては、ホストでの暗号化を有効にする必要があります (ホストでの暗号化のみが検出されます)
- コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要があります (Azure Disk Encryption のみを検出します)
- Windows 仮想マシンについては、Azure Disk Encryption または EncryptionAtHost を有効にする必要があります (Azure Disk Encryption と EncryptionAtHost の両方が検出されます)
- Linux 仮想マシンについては、Azure Disk Encryption または EncryptionAtHost を有効にする必要があります (Azure Disk Encryption と EncryptionAtHost の両方が検出されます)