Storage Services Encryption (SSE) 有効化状態のストレージ アカウント上の VHD から管理ディスクへの変換が行えるようになりました

こんにちは、Azure サポート部の石井です。

プチアップデートとなります。

これまで、Storage Services Encryption (SSE) が有効化されたストレージ アカウント上に VHD がある VM を、管理ディスク (Managed Disks) に変換できないという制約がありましたが、この制約は製品開発部によって改善され、現在は問題無く変換が行えるようになっています。

 

 

新情報はこれだけなのですが、せっかくこの記事を開いていただいた皆様のために、Azure Storage の暗号化について簡単におさらいをしておきます。

現在、Azure Storage の暗号化テクノロジーには、Azure Disk Encryption (ADE) と Storage Services Encryption (SSE) の二種類があります。

ADE は、BitLocker (あるいは Linux では同等の暗号化機能) を使って VHD ファイル自体を暗号化させる仕組みです。
ADE が有効化されていない VHD ファイルは、万一、第三者にてダウンロードされてしまうと、そのまま中身が閲覧されてしまいますが、ADE を有効化するとデータが暗号化されていて読み込めません。

対して、SSE とは、弊社 Azure データセンター上の物理ディスクを暗号化しますので、企業内のポリシーや要件として、「データセンターからの物理デバイスの盗難にあったときの漏洩リスク」「修理・廃棄の過程でのデータ漏洩リスク」といった懸念への対策になります。
しかしながら、SSE は、ADE のような VHD ファイル自体の暗号化ではないので、何者かによって、VHD ファイルをダウンロードされてしまうと、そのデータは複合化されている、つまり読み取れるデータとなる点にご注意ください。

なお、ADE は別途、暗号化する手順が必要ですが、SSE はストレージ アカウント上で有効化するだけで OK で、今回の Blog ポストの情報を踏まえ、特にデメリットも無くなりました。

 

差異は以下の過去ポストにもまとまっています。

Azure Disk Encryption (ADE) と Storage Service Encryption (SSE) のご紹介
https://blogs.technet.microsoft.com/jpaztech/2016/11/21/azure-disk-encryption-ade-%E3%81%A8-storage-service-encryption-sse-%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B/

 

なお、SSE は管理ディスクでは既定で有効化されるようになりましたので、特に設定無く、自動的に Azure 上のハードディスクのデータは暗号化されているということになります。