プレビュー: Azure Managed Disks のカスタマー マネージド キーを使用したサーバー側暗号化

2019年10月28日 に投稿済み

Principal Program Manager, Azure Managed Disks

このたび、Azure Managed Disks のカスタマー マネージド キー (CMK) を使用したサーバー側暗号化 (SSE) のプレビューが導入されることになりました。Azure のお客様は、既定で有効になっている Azure Managed Disks のプラットフォーム マネージド キー (英語) (PMK) を使用したサーバー側暗号化のメリットを既に享受して頂いています。また、Windows の BitLocker 機能と Linux の DM-Crypt 機能を利用し、ゲスト仮想マシン内でカスタマー マネージド キーを使用して Managed Disks を暗号化する Azure Disk Encryption (ADE) のメリットも享受して頂いています。

カスタマー マネージド キーを使用したサーバー側暗号化は、お客様が暗号化キーを管理し、コンプライアンスのニーズを満たすことができる点で、プラットフォーム マネージド キーを改善します。そして、ストレージ サービスのデータを暗号化し、仮想マシンで任意の OS の種類とイメージを使用できる点で、Azure Disk Encryption を改善しています。カスタマー マネージド キーを使用したサーバー側暗号化は、ハードウェア セキュリティ モジュール (HSM) がサポートする、高可用性とスケーラビリティを兼ね備えた、セキュアな RSA 暗号化キー向けのストレージを提供する Azure Key Vault (AKV) と統合されています。お客様は、Azure Key Vault に RSA キーをインポートする ことも、Azure Key Vault で新しい RSA キーを生成することもできます。

Azure Storage は、エンベロープ暗号化を使用した完全に透過的な方法で.暗号化と復号化を行います。このエンベロープ暗号化は、Advanced Encryption Standard (AES) 256 ベースのデータ暗号化キーを使用してデータを暗号化する技術です。この暗号化キーは、Azure Key Vault に格納されているキーを使用して保護されます。お客様がキーを完全に制御でき、Azure Managed Disks は Azure Active Directory のシステム割り当てマネージド ID を利用して、Azure Key Vault のキーにアクセスします。Azure Managed Disks がキーにアクセスするには、まず、Azure Key Vault の必要なアクセス許可を持つユーザーがアクセス許可を付与する必要があります。また、キーを無効にするか、キーのアクセス制御を取り消すことで、Azure Managed Disks がキーにアクセスできないようにすることができます。さらに、Azure Key Vault の監視機能でキーの使用状況を追跡し、Azure Managed Disks または他の信頼できる Azure サービスしかキーにアクセスしていないことを確認できます。

Azure Managed Disks のカスタマー マネージド キーを有効にするには、まず、カスタマー マネージド キーを表す DiskEncryptionSet という新しいリソース タイプのインスタンスを作成する必要があります。そして、ディスク、スナップショット、およびイメージを DiskEncryptionSet と関連付けて、カスタマー マネージド キーでそれらを暗号化する必要があります。同じ DiskEncryptionSet に関連付けることができるリソースの数に関する制約はありません。

CMK を使用した SSE の設定

利用可能性

カスタマー マネージド キーを使用したサーバー側暗号化は、Standard HDD Managed Disks、Standard SSD Managed Disks、および Premium SSD Managed Disks で利用できます。また、米国中西部リージョンで、Azure Compute Rest API バージョン 2019-07-01 を介して、以下のオペレーションを行えるようになりました。

  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化された OS ディスクを利用して、Azure Marketplace のイメージから仮想マシンを作成する。
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化されたカスタム イメージを作成する。
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化された OS ディスクを利用して、カスタム イメージから仮想マシンを作成する。
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化されたデータ ディスクを作成する。
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化されたスナップショットを作成する。

まもなく Azure SDK および他のリージョンのサポートを追加する予定です。

利用開始

プレビューをご利用になりたいお客様は、AzureDisks@microsoft.com 宛にご連絡ください。

以下を行う方法については、Managed Disks のカスタマー マネージド キーを使用したサーバー側暗号化のプレビューに関するドキュメント (英語) を参照してください。

  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化されたディスクを利用して、Azure Marketplace のイメージから仮想マシンを作成する
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化されたディスクを利用して、カスタム イメージから仮想マシンを作成する
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化された空のマネージド ディスクを作成し、仮想マシンにそれを接続する
  • カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化されたディスクを利用して、仮想マシンから、カスタマー マネージド キーを使用したサーバー側暗号化を用いて暗号化された新しいカスタム イメージを作成する