Azure Data Explorer で暗号化を使用してクラスターをセキュリティで保護する

Azure Data Explorer クラスターでは、保存データが暗号化される永続ストレージに Azure Storage が使用され、コンピューティングの終了時に削除されるキャッシュ データに仮想マシン ストレージが使用されます。 両方の種類のデータに対して暗号化を使用することで、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。

暗号化を使用して Azure Storage のデータをセキュリティで保護する

クラスターを作成すると、そのデータは Azure Storage に格納され、サービス レベルで自動的に暗号化されます。 Azure Storage は Azure Key Vault との統合により、すべてのクラスター データが確実に暗号化されるようにキーを格納および管理します。 サービスレベルの暗号化では、Azure Key Vault での Microsoft マネージド キーまたはカスタマー マネージド キーの使用をサポートしています。 既定では、Microsoft マネージド キーを使用してデータが暗号化されます。

必要に応じて、インフラストラクチャ レベルで二重暗号化を有効にすることができます。 二重暗号化を有効にすると、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 Azure Storage データの二重暗号化を使用すると、暗号化アルゴリズムまたはキーのいずれかが侵害される可能性があるシナリオから保護されます。 このシナリオでは、追加の暗号化レイヤーによって引き続きデータが保護されます。 インフラストラクチャレベルの暗号化は Microsoft マネージド キーに依存し、常に別のキーが使用されます。

データが安全であることをより高いレベルで保証する必要がある場合は、次のオプションを使用して保存データを構成します。

• 独自のカスタマー マネージド キーを使用する
• 二重暗号化を有効にする

暗号化を使用して仮想マシンストレージをセキュリティで保護する

クラスターを作成したときに、その仮想マシン キャッシュ ストレージは既定では暗号化されません。 ディスク暗号化を有効にして、クラスターに属する仮想マシンのデータ ボリュームとオペレーティング システム ディスクに格納されるホット キャッシュを暗号化できます。 このデータは Microsoft マネージド キーを使用して保存時に暗号化されます。

「ディスク暗号化を有効にする」の手順に従って、クラスターの仮想マシンの格納データをセキュリティで保護します。

Azure Data Explorer では、リージョン内にデータが格納されます

すべての Azure Data Explorer クラスターは、1 つのリージョンの専用リソース上で実行されます。 すべてのデータは、そのリージョン内に格納されます。

関連コンテンツ

• クラスターの二重暗号化を有効にする
• クラスターのディスクの暗号化を有効にする
• クラスターの正常性を確認する