ADEによる暗号化～その１　既存仮想マシン編

ADEによる暗号化とは

ADE とは、Azure Disk Encryption の略であり、Azure 仮想マシン上のディスク単位で暗号化する仕組みです。

どのレイヤーで暗号化が実装されるのか（マネージド ディスク ストレージレベルや、ホストレベル、仮想マシンレベル）や、暗号化の仕組みによっていくつかの選択肢がありますが、ADE は Azure 仮想マシンレベルでの暗号化ということになります。

複数ある暗号化の手法と、実際にどう採用していくかについては、要件や環境によって多層的に検討する必要があります。

※ その比較についてここでは触れません。下記技術情報にて比較されていますので、ご参照ください。
learn.microsoft.com

ADE暗号化の要件

要件となる前提条件については、下記技術情報をご参照ください。
learn.microsoft.com

事前準備

ADE暗号化設定

ADEによる暗号化を設定する仮想マシンを起動しておき、暗号化を設定する対象の仮想マシンから [設定] - [ディスク] を開き、[追加設定] をクリックします。

[暗号化するディスク] から暗号化対象とするディスクを選択し、キー コンテナー上に作成済みのキーを [キー コンテナー] と [キー]、[バージョン] をドロップダウンリストから選択して指定し、[保存] をクリックします。

仮想マシンの [設定] - [ディスク] を開き、ADE で暗号化されていることを確認します。

既存仮想マシン の ADE暗号化についてのまとめ

本記事では、既に作成済みであったり稼働中であったりする仮想マシンなど、既存ディスクに対する ADE暗号化の手順をご案内しました。

既存仮想マシン に対して暗号化設定を行うことに対して、特に本番環境などでは躊躇われることも多いと思いますが、そういった懸念のない検証環境などでは今回の手順で設定いただくと良いかと思います。本番環境においては可能な限り仮想マシン新規構築時に構成するのが望ましいでしょう。

運用中の本番環境への適用については以下の技術情報に記載がありますが、不具合が発生した場合に備えて事前にスナップショットやバックアップを取得しておくことと、対応していないシナリオ、機能、テクノロジが明示されています。
learn.microsoft.com

また、ADE などの暗号化を採用するか否かは、どこにデータが格納されていてどのようなインシデントを想定しているのか、そのデータのセキュリティをどのような方式で担保すべきなのか、といった要素から包括的に検討すべきものです。本記事上の各設定は ADE 構成時の基本的な手順としての一例ですが、本内容に縛られることなく自身の要件に沿った形で検討されるとよいでしょう。

新規仮想マシン作成時に最初から暗号化する手順については次回にご案内予定です。