Linux VM に対する Azure Disk Encryption に関する FAQ

Linux VM に対する Azure Disk Encryption では、Linux の DM-Crypt 機能を使用して、OS ディスク* とデータ ディスクの完全なディスク暗号化を提供します。 また、EncryptFormatAll 機能を使用すると、一時的なディスクの暗号化を行うことができます。 コンテンツは、暗号化された VM からストレージ バックエンドにフローします。 これにより、カスタマー マネージド キーを使用してエンド ツー エンドの暗号化を行うことができます。

「サポートされている VM とオペレーティング システム」を参照してください。

Linux VM の Azure Disk Encryption は、すべての Azure パブリック リージョンで一般公開されています。

Azure Disk Encryption GA は、Azure Resource Manager テンプレート、Azure PowerShell、および Azure CLI をサポートしています。 異なるユーザー エクスペリエンスによって柔軟性が得られます。 VM のディスク暗号化を有効にするオプションは 3 つあります。 Azure Disk Encryption で利用可能なユーザー エクスペリエンスとステップ バイ ステップ ガイダンスの詳細については、Linux の Azure Disk Encryption シナリオを参照してください。

Azure Disk Encryption を使用して VM ディスクを暗号化するための料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。 Azure Key Vault のコストの詳細については、「Key Vault の価格」ページを参照してください。

最初に、Azure Disk Encryption の概要をお読みください。

Azure Disk Encryption の概要の記事には、Azure Disk Encryption をサポートする VM のサイズと VM オペレーティング システムの一覧が記載されています。

はい。ブート ボリュームとデータ ボリュームの両方を暗号化できます。または、先に OS ボリュームを暗号化しなくても、データを暗号化できます。

OS ボリュームを暗号化した後で OS ボリュームの暗号化を無効にすることはできません。 スケール セットの Linux VM の場合、データ ボリュームのみ暗号化できます。

いいえ、Azure Disk Encryption で暗号化されるのは、マウントされたボリュームのみになります。

Storage のサーバー側の暗号化では、Azure Storage で Azure Managed Disks が暗号化されます。 マネージド ディスクは既定で、プラットフォーム マネージド キーを使用したサーバー側の暗号化 (2017 年6 月 10 日以降) で暗号化されます。 カスタマー マネージド キーを指定することによって、独自のキーを使用してマネージド ディスクの暗号化を管理できます。 詳細情報Azure Managed Disks のサーバー側暗号化。

Azure Disk Encryption は、カスタマー マネージド キーを使用して、OS ディスク、データ ディスク、および一時的なディスクをエンド ツー エンドで暗号化します。

• 上記とエンド ツー エンドの暗号化をすべて暗号化する必要がある場合は、Azure Disk Encryption を使用します。
• カスタマー マネージド キーを使用して保存データのみを暗号化する必要がある場合は、カスタマー マネージド キーを使用したサーバー側の暗号化を使用します。 カスタマー マネージド キーを使用して、Azure Disk Encryption と、Storage のサーバー側の暗号化の両方でディスクを暗号化することはできません。
• Linux ディストリビューションが Azure Disk Encryption でサポートされているオペレーティング システムに記載されていない場合、または制限事項で説明されているシナリオを使っている場合は、カスタマー マネージド キーを使ったサーバー側の暗号化を使うことを検討してください。
• 組織のポリシーにより、保存されているコンテンツを Azure マネージド キーを使用して暗号化できる場合、操作は必要ありません。コンテンツは既定で暗号化されます。 マネージド ディスクの場合、ストレージ内のコンテンツは、プラットフォーム マネージド キーを使用したサーバー側の暗号化で、既定で暗号化されます。 キーは Azure Storage サービスによって管理されます。

シークレットを切り替えるには、別のキー コンテナーを指定して、最初に使用したのと同じコマンドを呼び出してディスクの暗号化を有効にするだけです。 キーの暗号化キーを切り替えるには、新しいキーの暗号化を指定して、最初に使用したのと同じコマンドを呼び出してディスク暗号化を有効にします。

キー暗号化キーを追加するには、キー暗号化キーのパラメーターを渡して、有効化コマンドをもう一度呼び出します。 キー暗号化キーを削除するには、キー暗号化キーのパラメーターを指定せずに、有効化コマンドをもう一度呼び出します。

はい。独自のキー暗号化キーを指定できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

はい。Azure Key Vault を使用して、Azure Disk Encryption で使用するキー暗号化キーを生成できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

Azure Disk Encryption では、オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護することはできません。 暗号化キーを保護するために使用できるのは、Azure Key Vault サービスのみです。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

Azure Disk Encryption の前提条件があります。 新しいキー コンテナーを作成するか、既存のキー コンテナーを暗号化できるようにディスク暗号化アクセス用に設定して、シークレットとキーを保護するには、「Azure Disk Encryption 用のキー コンテナーの作成と構成」の記事を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

Azure Disk Encryption の前提条件があります。 Microsoft Entra アプリケーションを作成するか、新しいキー コンテナーを作成するか、既存のキー コンテナーをディスク暗号化アクセス用に設定してシークレットとキーの暗号化と保護を実行できるようにするには、「Microsoft Entra ID を使用した Azure Disk Encryption」を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Microsoft Entra ID を使用した Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。

はい。 Microsoft Entra アプリを使用したディスク暗号化は、まだサポートされています。 ただし、新しい VM を暗号化する場合は、Microsoft Entra アプリを使用して暗号化するのではなく、新しい方法を使用することをお勧めします。

現時点では、Microsoft Entra アプリで暗号化されたマシンを、Microsoft Entra アプリなしでの暗号化に直接移行するパスはありません。 また、Microsoft Entra アプリなしでの暗号化から AD アプリによる暗号化への直接的なパスはありません。

Azure Disk Encryption を構成するには、最新バージョンの Azure PowerShell SDK を使用してください。 Azure PowerShell の最新バージョンをダウンロードしてください。 Azure Disk Encryption は、Azure SDK Version 1.1.0 ではサポートされていません。

Azure Resource Manager (ARM) などのデプロイ シナリオで、Linux IaaS VM の暗号化を有効にするために Linux VM 用の Azure Disk Encryption 拡張機能をデプロイする必要がある場合、Azure Disk Encryption の運用環境に対応した拡張機能 "Microsoft.Azure.Security.AzureDiskEncryptionForLinux" を使用する必要があります。

カスタム Linux イメージに対して Azure Disk Encryption を適用することはできません。 前述したサポート対象のディストリビューションのギャラリー Linux イメージのみがサポートされます。 カスタム Linux イメージは現時点ではサポートされていません。

はい。Red Hat Linux VM に対して yum update を実行できます。 詳細については、分離されたネットワークでの Azure Disk Encryption に関する記事を参照してください。

Linux で最適な結果を得るには、次のワークフローが推奨されます。

• 必要な OS ディストリビューションとバージョンに対応する、変更されていないストック ギャラリー イメージを使用して開始します
• 暗号化するマウント済みのドライブをバックアップします。 このバックアップによって、暗号化が完了する前に VM が再起動された場合など、障害発生時の復旧が可能になります。
• 暗号化 (VM の特性や、接続されているデータ ディスクのサイズによっては、数時間から数日かかることがあります)
• 必要に応じて、イメージをカスタマイズし、イメージにソフトウェアを追加します。

このワークフローが可能でない場合は、DM-Crypt を使用したディスク全体の暗号化に代わる方法として、プラットフォームのストレージ アカウント レイヤーで Storage Service Encryption (SSE) を使用することができます。

"Bek ボリューム" は、暗号化された Azure VM の暗号化キーを安全に格納するローカルのデータ ボリュームです。

Azure Disk Encryption では、暗号化解除の既定値である 256 ビット ボリューム マスター キーの aes-xts-plain64 が使用されます。

いいえ、Azure Disk Encryption を使用して既に暗号化されているデータ ドライブのデータは消去されません。 EncryptFormatAll で、OS ドライブが再暗号化されなかったのと同様に、既に暗号化されているデータ ドライブは再暗号化されません。 詳細については、「EncryptFormatAll 条件」を参照してください。

XFS OS ディスクの暗号化がサポートされています。

XFS データ ディスクの暗号化は、EncryptFormatAll パラメーターが使用されている場合にのみサポートされます。 ボリュームが再フォーマットされ、そのボリューム上の以前のデータがすべて消去されます。 詳細については、「EncryptFormatAll 条件」を参照してください。

ADE で暗号化された OS ディスクのサイズは現在のところ変更できません。

Azure Backup には、同じサブスクリプションおよびリージョン内の暗号化された VM をバックアップおよび復元するメカニズムが用意されています。 手順については、「暗号化された仮想マシンを Azure Backup でバックアップおよび復元する」をご覧ください。 暗号化された VM を別のリージョンに復元することは、現在サポートされていません。

ご質問やフィードバックは、Azure Disk Encryption についての Microsoft Q&A 質問ページに投稿してください。

次のステップ

このドキュメントでは、Azure Disk Encryption に関して最もよく寄せられるご質問について説明しました。 このサービスの詳細については、以下の記事を参照してください。

• Azure Disk Encryption の概要
• Azure Security Center でディスクの暗号化を適用する
• 保存時の Azure データの暗号化