Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
こんにちは、Azure サポート部の石井です。
プチアップデートとなります。
これまで、Storage Services Encryption (SSE) が有効化されたストレージ アカウント上に VHD がある VM を、管理ディスク (Managed Disks) に変換できないという制約がありましたが、この制約は製品開発部によって改善され、現在は問題無く変換が行えるようになっています。
新情報はこれだけなのですが、せっかくこの記事を開いていただいた皆様のために、Azure Storage の暗号化について簡単におさらいをしておきます。
現在、Azure Storage の暗号化テクノロジーには、Azure Disk Encryption (ADE) と Storage Services Encryption (SSE) の二種類があります。
ADE は、BitLocker (あるいは Linux では同等の暗号化機能) を使って VHD ファイル自体を暗号化させる仕組みです。
ADE が有効化されていない VHD ファイルは、万一、第三者にてダウンロードされてしまうと、そのまま中身が閲覧されてしまいますが、ADE を有効化するとデータが暗号化されていて読み込めません。
対して、SSE とは、弊社 Azure データセンター上の物理ディスクを暗号化しますので、企業内のポリシーや要件として、「データセンターからの物理デバイスの盗難にあったときの漏洩リスク」「修理・廃棄の過程でのデータ漏洩リスク」といった懸念への対策になります。
しかしながら、SSE は、ADE のような VHD ファイル自体の暗号化ではないので、何者かによって、VHD ファイルをダウンロードされてしまうと、そのデータは複合化されている、つまり読み取れるデータとなる点にご注意ください。
なお、ADE は別途、暗号化する手順が必要ですが、SSE はストレージ アカウント上で有効化するだけで OK で、今回の Blog ポストの情報を踏まえ、特にデメリットも無くなりました。
差異は以下の過去ポストにもまとまっています。
Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) のご紹介
https://blogs.technet.microsoft.com/jpaztech/2016/11/21/azure-disk-encryption-ade-%E3%81%A8-storage-service-encryption-sse-%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B/
なお、SSE は管理ディスクでは既定で有効化されるようになりましたので、特に設定無く、自動的に Azure 上のハードディスクのデータは暗号化されているということになります。