Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) のご紹介
※ 2017/8/10 変更
ADE についての注意事項について補足させていただきました。詳しくは、<2017/8/10追記> の箇所をご参照下さい。
こんにちは。 Azure サポート チームの小久保です。
Azure では、お客様の大切なデータのセキュリティ向上の為、様々な取り組みを行っております。
今回は、一般公開されて間もない為に、あまり公開情報が存在しない Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) について、ご紹介します。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
Azure Disk Encryption (ADE) とは
Windows の場合には、BitLocker 機能を使用し、Linux の場合には、 DM-Crypt 機能を利用して、ゲスト OS 側から OS およびデータ ディスクのボリュームの暗号化を提供します。
【使用用途】 :
VHD ファイルが外部に流出した際、中身のデータへのアクセスを防ぐことができます。例えば、Azure サブスクリプションへの管理者権限 (ユーザー名・パスワード) が流出し、VHD が第三者にダウンロードされた場合でも、VHD ファイルが読み取られる可能性はありません。
<2017/8/10追記>
非管理ディスク上の VHD、つまり、ストレージ アカウント上の VHD については、ストレージ アカウント名とストレージ アカウント キーが流出してしまう場合に、ファイルが取得されてしまうというリスクがあります。この場合、ADE が有効であれば、たとえ VHD がダウンロードされたとしても、VHD の中身のデータを抜き出すことは出来ません。これが ADE で実現できる一番のメリットになります。
一方で、Azure 管理者アカウントのパスワードが盗まれ、Azure リソースの完全なコントロールを奪われてしまった場合には、ADE の複合化を行うことが可能となってしまうので安全とは言えません。この観点で、ADE は Azure 管理者アカウントの盗難に対して完全ではありませんので、Azure の管理には多要素認証 (MFA) をかけて、定期的にパスワードを変えるなど、Azure 管理者アカウントを守るという観点での対策は必要となります。
また、横道にそれますが、管理ディスクを使った場合、"ストレージ アカウント" は存在しませんので、ストレージ アカウントのキーが漏洩して VHD がダウンロードされるというリスクはありません。(Azure 管理者アカウントが奪われた場合に、VHD がダウンロードされてしまうリスクは同一です。)
</ 2017/8/10追記>
Storage Service Encryption (SSE) とは
Azure ストレージ側で、ストレージに保存する前にデータを自動的に暗号化し、取得する前に復号化します。
仮想マシン とストレージの I / O は、SSE を使用しない場合と同様の為、I / O の遅延などは発生しません。
【使用用途】 :
Azure のセキュリティは万全を期しておりますが、万が一、テロ等によりデータセンターの物理的なハードディスクが盗難された場合でも、当物理ディスクから、お客様のデータが読み取られることはありません。
ただし、Azure サブスクリプションへの管理者権限が盗まれ、ストレージ アカウントに保存されているファイルがダウンロードされてしまった場合には、ダウンロードの過程で復号されていますので、第三者による読み取りが可能となります。
Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) の違い
| Azure Disk Encryption (ADE) | Storage Service Encryption (SSE) | |
|---|---|---|
| 暗号化を行う対象 | Azure の仮想マシンの OS ディスクとデータディスク (VHD ファイル) | ストレージアカウント全体(ブロック BLOB、ページ BLOB、追加 BLOB のみ対象) |
| キーの管理 | ユーザー | Microsoft |
| パフォーマンスへの影響 | ほぼ無し[参考]Windows 8 ベースのコンピューターで BitLocker を有効にした場合、パフォーマンスのオーバーヘッドは 10% 未満 | 無し |
| 暗号化できるタイミング | 随時 | 随時暗号化を有効化した後で作成されたデータのみ暗号化されます。 |
| 暗号化可能な構成 | 様々な制約がある為、以下リンクをご参考ください。Windows および Linux IaaS VM の Azure ディスク暗号化 - 前提条件https://docs.microsoft.com/ja-jp/azure/security/azure-security-disk-encryption#前提条件 | ・Standard Storage と Premium Storage・汎用ストレージ アカウントと Blob Storageアカウント・すべての冗長性レベル(LRS、ZRS、GRS、RA-GRS)・Azure Resource Manager ストレージアカウント (クラシック以外)・すべてのリージョンで使用可能 |
参考情報
- Windows および Linux IaaS VM の Azure ディスク暗号化
/ja-jp/azure/security/azure-security-disk-encryption
- Azure Storage Service Encryption for Data at Rest
/ja-jp/azure/storage/storage-service-encryption
- Azure Storage セキュリティ ガイド
/ja-jp/azure/storage/storage-security-guide