ディスク暗号化機能
[更新: 2024年4月4日]
概要
ディスク暗号化機能は、サーバ上で行われるディスクへの読み書きに対し、それを受け持つクラウド基盤内の仮想デバイスドライバで透過的に暗号化・復号処理を行うことで、ホストサーバ内のIOバッファや仮想ネットワーク、ストレージ装置とのネットワーク経路、ストレージ装置内に保存されるデータなど、暗号化部分での不正な窃取や流出などに対する安全性を高めることができるオプション機能です。暗号化/復号処理はさくらのクラウド基盤内で行われるため、お客様側からはご利用OSに特別な設定を行うことなく、通常のディスクと同様に取り扱うことが可能です。
注意
本機能を有効にして作成したディスクでも、お客様サーバ上では通常のディスクと同様の状態で認識されます。そのため、お客様サーバへの不正侵入や脆弱性を持つアプリケーションによる意図しないデータへのアクセスなどが発生した場合でも通常通りにディスクへ読み書きされます。OS上での不正や脆弱性に対するデータ保護を行う場合は、ユーザ利用領域での暗号化など別途対策をご検討ください。
仕様
暗号化アルゴリズム |
AES256-XTS |
|---|---|
暗号化部分 |
お客様サーバからのディスクI/Oを受け持つ仮想デバイスドライバ以下の仮想化基盤部分 |
暗号鍵の管理者 |
弊社 |
機能の有効/無効化タイミング |
有効化: ディスクの新規作成時 |
利用可能サービス |
ディスク(全ゾーン・全プラン対応) |
サーバへの暗号化有効・無効ディスク混在接続 |
可能 |
ディスク修正機能 の利用 |
可能 |
注釈
暗号化・復号処理にかかわる計算コストや時間的遅延などについては、 公表しているIOPS・転送帯域 の範囲内に影響を与えない程度の負荷となります。
ディスク・アーカイブへのコピーについて
さくらのクラウド基盤上のディスクコピー機能を利用する場合、コピー元ディスクの暗号化機能有効化の有無により以下の制限があります。
コピー先 |
||||
アーカイブ |
暗号化なしディスク |
暗号化ありディスク |
||
コピー元 |
アーカイブ |
○ |
○ |
○ |
暗号化なしディスク |
○ |
○ |
○ |
|
暗号化ありディスク |
× |
× |
○ |
|
注釈
・内部的にアーカイブへのコピー動作となる仕様上、暗号化を有効にしたディスクに自動バックアップ機能を設定することはできません。
・暗号化の有効の有無に関わらずサーバ上では通常のディスクと同様にデータの読み書きが可能となるため、サーバを介して暗号化あり→暗号化なしディスクへコピーすることが可能です。
利用方法
サーバ作成時、またはディスク単体での作成時に表示されるフォームの「ディスクを暗号化する」のチェックボックスを有効にして作成します。
作成後はディスクの詳細画面でディスク暗号化の有効状態が確認できます。
