Blobストレージに追加された2つの新しい暗号化機能:Microsoft Azure最新機能フォローアップ(24)
「Azureストレージ」は、さまざまな用途に利用できるクラウドストレージです。Azureストレージへのアクセスは、HTTPS(TLS)またはSMB 3.xのSMB暗号化で保護されますが、Azureストレージに保存されるデータについても暗号化するオプションが利用可能になりました。
Azureストレージの2つの新しい暗号化オプション
Azureストレージは、Microsoft Azureおよび他社のクラウドアプリケーションのためのデータの記憶域、Azure仮想マシンの仮想HDDの配置先、オンプレミスのサーバやクライアント、アプリケーションの記憶域などに利用できる汎用的なクラウドストレージです。
Azureストレージの最大の特徴は、99.9%以上のサービス品質保証(Service Level Agreement:SLA)という可用性と、最も低コストの「ローカル冗長ストレージ」でも同一施設内で3重のコピーを保持するというデータの保全性でしょう。
Azureストレージでは「Blob(ブロブ)」「Table(テーブル)」「Queue(キュー)」「File(ファイル)」という4種類のサービスが提供され、いずれもAzureストレージへの外部からのアクセスには、ストレージアカウント名と非常に長いランダムな文字列からなるアクセスキーが必要です。また、Blob、Table、Queueストレージサービスへの接続はHTTPS(TLS)の暗号化、FileストレージサービスはSMB(Server Message Block)3.xのSMB暗号化で保護されます。
Azureストレージのこれらのセキュリティ機能は標準機能です。Blobストレージではオプションで、データを暗号化して格納する方法が2つあります。
1つはAzure仮想マシンの仮想HDDを暗号化する「Azure Disk Encryption」、もう1つは汎用的に利用できる「Storage Service Encryption(SSE)」です(図1)。Windows仮想マシンにおけるAzure Disk Encryptionは2016年5月から正式提供されています(Linux仮想マシンはプレビュー提供中)。Storage Service Encryptionは、2016年9月から正式提供となりました。
- Azure Disk Encryption for Windows Virtual Machines Reaches General Availability[英語](MSDN)
- Announcing the General Availability of Storage Service Encryption for Data at Rest[英語](Microsoft Azure)
図1 AzureストレージへのHTTPSおよびSMB 3.xの暗号化アクセスは標準機能。新たに利用可能になったのは、「Azure Disk Encryption」とStorage Service Encryption」の2つのオプションAzure仮想マシンで利用できるBitLockerによるOSディスクの暗号化
Azure Disk Encryptionは、「Azureリソースマネージャー」でデプロイされたWindowsおよびLinux仮想マシンの仮想HDD(OSディスクおよびデータディスク)について、ゲストOS側での暗号化をサポートするものです。
既に正式提供となっているWindows仮想マシンの方は、Windows Serverが備える「BitLockerドライブ暗号化」のテクノロジー、プレビュー提供中のLinux仮想マシンの方はLinuxカーネル2.6以降が備える「DM-Crypt」の暗号化テクノロジーを利用したもので、いずれも暗号化キーの管理を「Azure Key Vault」というサービスが提供します。
ただし、この機能はAzureポータルから簡単にオン/オフできるものではなく、Azure PowerShellを使用してAzure Key Vaultの準備やAzure Disk Encryptionの拡張機能を構成する必要があります(画面1)。
- Azure仮想マシンの暗号化(Microsoft Azure)
汎用的に利用できるBlobストレージの暗号化
Storage Service EncryptionによるBlobストレージの暗号化は、物理的なストレージ上には常に暗号化された状態でデータが格納され、AES 256ビット暗号化を使用して、Blobストレージの全ての書き込みを暗号化し、読み取り時に自動的に複号します。
全ての暗号化キーの管理は、サービスによって自動的に行われるため、利用者やアプリケーション側の暗号化への対応は必要なく、通常の暗号化されていないBlobストレージと同じようにシームレスに読み書きすることができます
Storage Service Encryptionは、「Azureポータル」で作成したBlobまたは汎用タイプのストレージアカウントで簡単にオン/オフすることができます。暗号化をオンにすると、新たに格納されるデータから暗号化の対象となります(画面2)。なお、Blob以外のTable、QUEUE、Fileストレージサービスのデータの格納は、暗号化の対象にはなりません。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。