本記事では、Azure上の新規仮想マシン*1に対する ADEによる具体的な暗号化の手順を説明していきます。
ここでは、Windows 向けの ADEについて記載します。Linux については触れません。
はじめに
今回は、新規仮想マシン作成と合わせたタイミングでディスクに対して ADE暗号化を構成する手順を説明します。
新規仮想マシンに対する設定と言っても、ADEが暗号化対象のデバイス(ここで言う仮想マシン)の OS上の機能*2を利用して暗号化を行う以上、Windows が動作する以前に構成することは出来ません。
基本的な手順は前回の「既存仮想マシン編」と同様ですが、本記事では新規仮想マシン構成時に ADE暗号化を構成する際の手順、注意点などを中心に記載します。
blog.jbs.co.jp
ADE に関する前提、同様の手順についての記載は第1回の「既存仮想マシン編」をご参照ください。
事前準備
「既存仮想マシン編」と同様に、下記事前準備を行います。
- キー コンテナーの作成
- キー コンテナー設定とロールの付与
- キー コンテナーに対するアクセス許可 (ロール) の付与
仮想マシンの作成とボリューム構成
事前準備が終わったら、普通に仮想マシンを作ります。データディスクを構成する場合は割り当てておきます。
データディスクを構成している場合は、仮想マシンが作成できたら仮想マシンにサインインし、てデータディスクにボリュームを作成してフォーマットしておきます。
BitLocker による暗号化は、ボリュームを作成しておかないと該当のボリュームに対して暗号化が適用されず手間が増えますので、ADE設定前に実施しておきましょう。
ADE暗号化設定
こちらも「既存仮想マシン編」と同様、仮想マシンから [設定] - [ディスク] - [追加設定] を開き、ADE暗号化設定をデプロイします。
注意事項
Azure サブスクリプション上で「ホストでの暗号化」機能を有効にすることにより、仮想マシンを作成する際に「VM ディスクの暗号化」を構成することが出来るようになりますが、こちらは ADE による暗号化ではなく、ホストでの暗号化となり、Azure データセンターのホスト サーバーによる暗号化機能になりますので、ご注意ください。
新規仮想マシンの ADE暗号化についてのまとめ
本記事では、新規仮想マシン作成時に併せて ADE暗号化を行う手順をご案内しました。
既存仮想マシンと異なり、新規仮想マシン構築時点で暗号化する方が稼働中の業務影響などを考慮する必要がなく導入は容易かと思います。避けられない何らかの経緯がない限りは、新規仮想マシン構築時の暗号化をお勧めします。
S.Tomishima(日本ビジネスシステムズ株式会社)
クラウドソリューションアーキテクト部に所属。AD DS や Windows 系を中心としたインフラを主に担当しており、Administrator Expert および Azure Solutions Architect Expert を所持。趣味はドライブやウィンドウショッピングなど。
担当記事一覧