Azure マネージドディスクの暗号化方法
何パターンかあるが、いくつか主要なものについて改めて確認してみた。
こちらMSサイトにも記載はあるが、わかりにくいのでちょうざっくりまとめておく
マネージド ディスク暗号化オプションの概要 – Azure Virtual Machines | Microsoft Learn
Server Side Encryption(SSE)
・データがマネージドディスクに書き込まれるタイミングで暗号化される
ホストでの暗号化
・マネージドディスクに書き込む対象のデータは、仮想マシン上で暗号化が行われる。
・一時ディスクなども暗号化できるため、SSEと比べて、よりセキュア
★一時ディスク・・・マネージドディスクとは別。Azure VM上のキャッシュ情報など非永続的な情報が書き込まれるディスク(メモリではない)。再起動すると消えてしまう。
Azure Disc Encription (ADE)
・暗号化のタイミングは「ホストでの暗号化」と同じ
・Azure VMがwindowsの場合は、BitLockerというディスクを暗号化する機能が使われている。(Linuxの場合はdm-crptという機能がつかわれている)
・バックアップ、スナップショットにより、他のリソースにマネージドディスクのデータが移動しても暗号化された状態が継続される。⇒ 「ホストでの暗号化」と比べて、よりセキュア
セキュリティ性の順序
SSE < ホストでの暗号化 < ADE
だが、正直ここまでこだわるお客さんは、政府系の個人番号を扱うシステムとか、金融系くらいな気がする。