Windows および Linux VM を保護するための暗号化オプション
会社の取引先のセキュリティ ポリシーにより、取引データを強力な暗号化で保護することが求められているとします。 Windows サーバーで稼働する B2B アプリケーションを使用して、サーバーのデータ ディスクにデータを格納しています。 現在、クラウドへの移行にあたって、権限のないユーザー、デバイス、アプリケーションは Azure VM に格納されるデータにアクセスできないことを、取引先に説明する必要があります。 B2B データの暗号化を実装する戦略を決定する必要があります。
監査要件では、暗号化キーをサードパーティではなく、社内で管理することが定められています。 また、Azure ベースのサーバーのパフォーマンスと管理性が維持されることを確認する必要もあります。 暗号化を実装する前に、パフォーマンスへの影響がないことを確認する必要があります。
暗号化とは
暗号化とは、意味がある情報を、文字や数字のランダムなシーケンスのような無意味に見えるものに変換することです。 暗号化のプロセスでは、暗号化されたデータを作成するアルゴリズムの一部としてキーという形式を使用します。 キーは復号化を実行するためにも必要です。 キーには、暗号化と復号化に同じキーが使用される対称、または異なるキーが使用される非対称があります。 後者の例は、デジタル認定資格証で使用される公開/秘密キー ペアです。
対称暗号化
Advanced Encryption Standard (AES) など、対称キーを使用するアルゴリズムは、通常は公開キー アルゴリズムよりも高速で、大容量データ ストアを保護するためによく使用されます。 キーが 1 つしかないため、キーが公開されないようにするための措置を取る必要があります。
非対称暗号化
非対称暗号化では、ペアの秘密キーのみを秘密にするように保護する必要があります。名前からわかるように、公開キーは誰に知らせても、暗号化されたデータが漏えいすることはありません。 ただし、公開キー アルゴリズムのデメリットは、対称アルゴリズムよりも速度がかなり遅いことです。大容量データの暗号化には使用することができません。
キー管理
Azure では、Microsoft またはお客様が暗号化キーを管理できます。 ユーザーが管理するキーの需要があるのは、HIPAA または他の規制へのコンプライアンスを明示する必要がある組織です。 このようなコンプライアンスでは、キーへのアクセスのログを記録すること、定期的にキーを変更して記録することが求められる場合があります。
Azure ディスクの暗号化テクノロジ
Azure VM の暗号化ベースの主要なディスク保護テクノロジは次のとおりです。
- Azure Storage Service Encryption (SSE)
- Azure Disk Encryption (ADE)
SSE は、データ センター内の物理ディスク上で実行されます。 誰かが物理ディスクに直接アクセスしたとしても、データは暗号化されています。 ディスクのデータにアクセスすると、データは復号化されてメモリに読み込まれます。
ADE によって仮想マシンの仮想ハード ディスク (VHD) が暗号化されます。 VHD が ADE で保護されている場合、そのディスク イメージにアクセスすることができるのは、そのディスクを所有する仮想マシンのみです。
両方のサービスを使用してデータを保護することができます。
Storage Service Encryption
SSE は、保存データを保護するために使用される Azure に組み込まれている暗号化サービスです。 Azure ストレージ プラットフォームでは、データが自動的に暗号化されてから、Azure Managed Disks などいくつかのストレージ サービスに格納されます。 256 ビット AES 暗号化を使用する暗号化が既定で有効になっており、ストレージ アカウント管理者によって管理されます。
SSE は、新規と既存のすべてのストレージ アカウントに対して有効になっており、無効にすることはできません。 データは既定で保護されます。SSE を活用するために、コードやアプリケーションを変更する必要はありません。
SSE は、Azure Storage サービスのパフォーマンスには影響しません。
Azure Disk Encryption
VM 所有者が ADE を管理します。 これは、Windows VM では BitLocker を使用し、Linux VM では DM-Crypt を使用して、Windows や Linux VM で制御されるディスクの暗号化を制御します。 BitLocker ドライブ暗号化は、オペレーティング システムに統合されたデータ保護機能です。コンピューターの紛失、盗難、不適切な廃棄による、データの窃盗や公表の脅威に対処します。 同様に、DM-Crypt は Linux 用に保存データを暗号化してから、ストレージに書き込みます。
ADE により、VM ディスク上のすべてのデータは Azure ストレージで保存時に暗号化されることが保証されます。ADE は Recovery コンテナーにバックアップされる VM では必須です。
ADE では、VM はユーザー管理のキーとポリシーを使用して起動されます。 ADE は、これらのディスク暗号化キーとシークレットを管理するために、Azure Key Vault と統合されています。
Note
ADE は Basic レベルの VM の暗号化をサポートしません。また、ADE でオンプレミスのキー管理サービス (KMS) を使用することはできません。
暗号化を使用するタイミング
コンピューターのデータが危険にさらされるのは、送信中 (インターネットまたは他のネットワークで送信されるとき) と保存時 (ストレージ デバイスに保存されるとき) です。 保存時のシナリオは、Azure VM ディスク上のデータを保護する際に最もよく考慮する必要があります。 たとえば、あるユーザーが Azure VM に関連付けられている仮想ハード ディスク (VHD) ファイルをダウンロードして、自分のノート PC に保存するとします。 VHD が暗号化されていない場合は、VHD を自分のコンピューターにマウントできれば、だれでも内容にはアクセスできるようになります。
オペレーティング システム (OS) ディスクの場合、パスワードなどのデータは自動的に暗号化されるため、VHD 自体が暗号化されていなくても、その情報にアクセスするのは簡単ではありません。 アプリケーションでも、それぞれのデータが自動的に暗号化されることがあります。 ただし、そのような保護があるにしても、悪意のある人物がデータ ディスクへのアクセスを入手し、かつディスクそのものが暗号化されていなかった場合は、そのアプリケーションのデータ保護における既知の脆弱性が悪用され得る恐れがあります。 ディスク暗号化を設定すれば、そのような悪用は不可能になります。
SSE は Azure 自体の一部であり、SSE を使用しても、VM ディスク上の I/O のパフォーマンスに顕著な影響はありません。 現在、SSE を含むマネージド ディスクは既定となっており、変更する理由はありません。 ADE では VM オペレーティング システムのツール (BitLocker と DM-Crypt) を使用します。したがって、VM ディスクに対して暗号化または復号化が実行されている際には、VM 自体でなんらかの処理を行う必要があります。 特定の状況を除き、通常、VM CPU のこのような追加アクティビティの影響はごくわずかです。 たとえば、CPU 負荷の高いアプリケーションがある場合は、OS ディスクを暗号化せずにパフォーマンスを最大化するケースもあります。 この状況では、アプリケーション データを別の暗号化されたデータ ディスク上に格納すると、セキュリティを損なわずに必要なパフォーマンスを得ることができます。
Azure によって、2 つの補完的な暗号化テクノロジが提供され、Azure VM ディスクを保護するために使用されます。 これらのテクノロジ (SSE および ADE) は、異なるレイヤーで暗号化を行い、異なる目的を果たします。 いずれも AES 256 ビット暗号化が使用されます。 両方のテクノロジを使用すると、Azure ストレージや特定の VHD への不正アクセスに対する多層防御の保護が備わります。