マルチテナントの経済性と厳格な機密要件を両立するMicrosoft Azureの「コンフィデンシャルVM」とは:Microsoft Azure最新機能フォローアップ(176)
Microsoftは2022年7月20日、Azure仮想マシンの新しい「DCasv5」および「ECasv5」シリーズと、これらのシリーズで選択可能な「Azure Confidential VM」の一般提供を開始しました。コンフィデンシャルVMは、セキュリティと機密性の要件が特に高い顧客向けのIaaSであり、Microsoft Azureのプラットフォームやクラウドオペレーターからも強力に保護されます。
ハードウェアベースの新たなセキュリティ境界の意味
Microsoft Azure仮想マシンの新しいシリーズ、汎用(はんよう)向け「DCasv5」およびメモリ最適化コンピューティング向け「ECasv5」は、Azureコンフィデンシャルコンピューティングの新サービス「Azure Confidential VM(コンフィデンシャルVM、機密の仮想マシン)」(以下、コンフィデンシャルVM)に対応したもので、セキュリティと機密性の特に高い仮想マシンのデプロイと実行を可能にします。
- General availability: Azure confidential VMs(DCasv5/ECasv5-series VMs)[英語](Microsoft Azure)
- Azureのコンフィデンシャルコンピューティング(Microsoft Azure)
コンフィデンシャルVMは、第3世代のAMDプロセッサが備える「AMD Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)」テクノロジーを活用して、ハードウェアベースの強力なセキュリティ境界を提供します。仮想マシンのゲストOS側はWindowsおよびLinux標準のセキュリティ機能と連携するため、OSやアプリケーションのコードを変更することなく、高いセキュリティで保護されたコンピューティング環境を導入できます。
- AMD Infinity Guard(AMD)
コンフィデンシャルVMでは、以下のセキュリティ機能が有効または利用可能です(画面1)。
- 仮想マシン、ハイパーバイザー、ホスト管理コードの間がハードウェアベースで分離され、プロセッサによって生成されるキーを用いて使用中のデータ(プロセッサの状態、仮想マシンのメモリを含む)が暗号化される
- 認証ポリシーを使用して、仮想マシンをデプロイする前にホスト(Azure側の物理サーバ)の正常性とコンプライアンスを確認できる(ホストの構成証明)
- 仮想マシンのプロビジョニング前のディスク暗号化(機密コンピューティングの暗号化)と、最初の起動時のフルディスク暗号化(ホストでの暗号化)ができる
- プラットフォーム(Microsoft Azure)または顧客によって所有、管理される暗号化キーを使用してディスクを暗号化できる
- 仮想TPMによる構成証明とキーの保護、BitLockerドライブ暗号化
- UEFIセキュアブート(Azureトラステッド起動)
- 「Microsoft Azure Attestation」によるAzure仮想マシンの構成証明
機密性の要件により、オンプレミスからクラウドへの移行を懸念している場合、コンフィデンシャルVMを利用することで、その懸念を解消することができます。なぜなら、コンフィデンシャルVMは、Azureのインフラストラクチャ(物理サーバやストレージなど)やクラウドオペレーター、ホスト側の管理用コードからも強力に保護されるからです。
コンフィデンシャルVMをデプロイするには
コンフィデンシャルVMは、通常のAzure仮想マシンとほとんど同じ方法でデプロイできます。通常のAzure仮想マシンとの違いは、以下の通りです。
- 利用可能なリージョンが限定されている(日本リージョンでは未提供。今後、拡大される可能性あり)
- セキュリティの種類として「機密の仮想マシン」を選択する
- 仮想マシンのサイズで「DCasv5」または「ECasv5」シリーズを選択する
- コンフィデンシャルVM対応のゲストOSを選択する(「Windows Server 2022」「Windows Server 2019」、または「Ubuntu 20.04 LTS」のみ)
- ディスク構成における各種セキュリティオプションを有効化する
なお、ホストでの暗号化を有効にするには、使用中のAzureサブスクリプションで「EncryptionAtHost」プロバイダーを有効にする必要もあります(画面2)。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP 2009 to 2022(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。 - Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。 - 買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。 - いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。