Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) のご紹介


こんにちは。 Azure サポート チームの小久保です。
Azure では、お客様の大切なデータのセキュリティ向上の為、様々な取り組みを行っております。
今回は、一般公開されて間もない為に、あまり公開情報が存在しない Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) について、ご紹介します。

 

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

 

Azure Disk Encryption (ADE) とは


Windows の場合には、BitLocker 機能を使用し、Linux の場合には、 DM-Crypt 機能を利用して、ゲスト OS 側から OS およびデータ ディスクのボリュームの暗号化を提供します。
 

【使用用途】 :

VHD ファイルが外部に流出した際、中身のデータへのアクセスを防ぐことができます。例えば、Azure サブスクリプションへの管理者権限 (ユーザー名・パスワード) が流出し、VHD が第三者にダウンロードされた場合でも、VHD ファイルが読み取られる可能性はありません。

 

Storage Service Encryption (SSE) とは


Azure ストレージ側で、ストレージに保存する前にデータを自動的に暗号化し、取得する前に復号化します。
仮想マシン とストレージの I / O は、SSE を使用しない場合と同様の為、I / O の遅延などは発生しません。
 

【使用用途】 :

Azure のセキュリティは万全を期しておりますが、万が一、テロ等によりデータセンターの物理的なハードディスクが盗難された場合でも、当物理ディスクから、お客様のデータが読み取られることはありません。
ただし、Azure サブスクリプションへの管理者権限が盗まれ、ストレージ アカウントに保存されているファイルがダウンロードされてしまった場合には、ダウンロードの過程で復号されていますので、第三者による読み取りが可能となります。

 

Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) の違い


Azure Disk Encryption (ADE) Storage Service Encryption (SSE)
暗号化を行う対象 Azure の仮想マシンの OS ディスクとデータディスク (VHD ファイル) ストレージアカウント全体
(ブロック BLOB、ページ BLOB、追加 BLOB のみ
対象)
キーの管理 ユーザー Microsoft
パフォーマンスへの
影響
ほぼ無し
[参考]
Windows 8 ベースのコンピューターで BitLocker を有効にした場合、パフォーマンスのオーバーヘッドは 10% 未満
無し
暗号化できる
タイミング
随時 随時
暗号化を有効化した後で作成されたデータのみ暗号化されます。
暗号化可能な構成 様々な制約がある為、以下リンクをご参考ください。
Windows および Linux IaaS VM の Azure ディスク暗号化 – 前提条件
https://docs.microsoft.com/ja-jp/azure/security/azure-security-disk-encryption#前提条件
・Standard Storage と Premium Storage
・汎用ストレージ アカウントと Blob Storage
  アカウント
・すべての冗長性レベル
  (LRS、ZRS、GRS、RA-GRS)
・Azure Resource Manager ストレージ
  アカウント (クラシック以外)
・すべてのリージョンで使用可能

 

参考情報


 

 


Comments (0)

Skip to main content