Azure 仮想マシンのセキュリティについて調べる
Azure 仮想マシンのセキュリティを調査して実装する場合は、次の点を考慮してください。
ネットワークのセキュリティ
ネットワーク セキュリティについては、Web Dispatcher のサブネットの前にマネージド ファイアウォールまたはホスト型ファイアウォールを使用して、境界ネットワークを実装することを検討します。 ストレージ セキュリティについては、転送時および保存時にデータを必ず暗号化します。 Azure 仮想マシン ディスクの暗号化には、Azure Disk Encryption を使用できます。 この機能では、Windows の BitLocker 機能と Linux の DM-Crypt を使用して、オペレーティング システムとデータ ディスクのボリュームを暗号化します。 このソリューションは Azure Key Vault とも連携して、ディスク暗号化キーとシークレットの制御と管理を支援します。 仮想マシンのディスク上のデータは、Azure Storage での保存時に暗号化されます。 保存されている SAP HANA データの暗号化には、SAP HANA のネイティブ暗号化テクノロジを使用することをお勧めします。
ストレージのセキュリティ
Azure Storage 内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。 Azure Storage 暗号化は、Windows での BitLocker 暗号化に似ています。
Azure Storage の暗号化は、Resource Manager とクラシック ストレージ アカウントの両方を含むすべてのストレージ アカウントについて有効になり、無効にすることはできません。 データは既定で保護されるので、Azure Storage 暗号化を利用するために、コードまたはアプリケーションを変更する必要はありません。
既定では、新しいストレージ アカウント内のデータは Microsoft マネージド キーで暗号化されます。 引き続き Microsoft マネージド キーを利用してデータを暗号化することも、独自のキーで暗号化を管理することもできます。
データのセキュリティ保護について高いレベルの保証が必要な顧客は、Azure Storage インフラストラクチャ レベルで 256 ビットの AES 暗号化を有効にすることもできます。 インフラストラクチャの暗号化が有効になっている場合、ストレージ アカウント内のデータは 2 回暗号化され (1 回はサービス レベル、もう 1 回はインフラストラクチャ レベル)、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーが使用されます。 Azure Storage のデータを二重に暗号化することで、暗号化アルゴリズムやキーの 1 つが漏洩した場合に備えます。 このシナリオでは、追加の暗号化レイヤーによって引き続きデータが保護されます。
Note
パフォーマンスに影響する可能性があるため、Azure Disk Encryption と DBMS 暗号化の両方を組み合わせることは、一般に推奨されません。
- Availability Zones により、SAP サーバーと DB サーバーの間の待機時間が長くなります。 通常は無視できるほどですが、パフォーマンスの数値には表れます。 これは、アップタイムが 0.04% 増えることに対するトレードオフです。 また、Availability Zones を利用すると、クロスゾーン ネットワーク トラフィックの追加料金が発生することに注意してください。
- 同じサーバー上の Azure Disk Encryption には、保存されている HANA データの暗号化を使用しないでください。 HANA については、HANA データの暗号化のみを使用します。