BitLocker でクラスターの共有ボリュームと記憶域ネットワークを保護する

  • [アーティクル]

IT 担当者向けのこのトピックでは、BitLocker を使って CSV と SAN を保護する方法について説明します。

BitLocker では、物理ディスク リソースとクラスターの共有ボリューム バージョン 2.0 (CSV2.0) の両方を保護できます。クラスター化ボリュームに対して BitLocker を使うと、機密性と可用性の高いデータの保護を求める管理者は追加の保護レイヤーを得られます。 クラスター化ボリュームにさらなる保護機能を追加することで、管理者はまた、特定のユーザー アカウントにのみ BitLocker ボリュームのロックを解除するためのアクセス許可を与えることができるため、組織内のリソースにさらなる安全防壁を追加できます。

クラスターの共有ボリュームに対する BitLocker の構成

クラスター化ボリュームでの BitLocker の使用

クラスター内のボリュームに対する BitLocker は、クラスター サービスから保護対象のボリュームがどのように "見える" かに基づいて管理されます。 ボリュームが、記憶域ネットワーク (SAN) やネットワーク接続ストレージ (NAS) 上の論理ユニット番号 (LUN) など、物理ディスク リソースとなる場合があります。

重要  

BitLocker で使われる SAN は Windows ハードウェア認定を取得している必要があります。詳しくは、「Windows ハードウェア ラボ キット」をご覧ください。

 

また、ボリュームは、クラスター内のクラスターの共有ボリューム (共有名前空間) となる場合もあります。 Windows Server 2012 では、現在 CSV2.0 として知られている CSV アーキテクチャを拡張して、BitLocker のサポートが可能です。 クラスター用に指定したボリュームで BitLocker を使うときは、そのリソースをクラスター内の記憶域プールに追加する前に BitLocker をオンにするか、BitLocker の操作を行う前にそのリソースをメンテナンス モードに切り替える必要があります。

CSV2.0 ボリュームでの BitLocker の管理には、Windows PowerShell または manage-bde コマンド ライン インターフェイスをお勧めします。BitLocker のコントロール パネル項目よりもお勧めなのは、CSV2.0 ボリュームがマウント ポイントであるためです。マウント ポイントは、他のボリュームへのエントリ ポイントとして使われる NTFS オブジェクトです。 マウント ポイントにはドライブ文字を使う必要はありません。 ドライブ文字のないボリュームは BitLocker のコントロール パネル項目には表示されません。 さらに、クラスター ディスク リソースまたは CSV2.0 リソースに必要な新しい Active Directory ベースの保護機能は、BitLocker のコントロール パネル項目では選べません。

  

マウント ポイントは、SMB ベースのネットワーク共有上のリモート マウント ポイントをサポートするために使えます。 この種の共有は、BitLocker 暗号化ではサポートされていません。

 

ダイナミック仮想ハード ディスク (VHD) など仮想プロビジョニングされた記憶域に対して、BitLocker は使用済みディスク領域のみの暗号化モードで実行されます。 manage-bde –WipeFreeSpace コマンドを使って、これらの種類のボリュームに対してフルボリューム暗号化への移行は行えません。これは、フルボリューム暗号化にはボリュームの終了マーカーが必要であり、容量可変の VHD にはボリュームの静的な終了マーカーがないためです。

Active Directory ベースの保護機能

Active Directory ドメイン サービス (AD DS) の保護機能も、AD DS インフラストラクチャ内に保持されたクラスター化ボリュームの保護に使えます。 ADAccountOrGroup 保護機能は、ドメイン セキュリティ識別子 (SID) ベースの保護機能であり、ユーザー アカウント、コンピューター アカウント、またはグループにバインドできます。 保護されたボリュームに対してロック解除要求があると、BitLocker サービスはその要求を中断し、BitLocker 保護/保護解除 API を使って、ロックを解除するか、その要求を拒否します。 BitLocker は、次の順序で保護機能を試すことで、ユーザーの介入なしに、保護されたボリュームのロックを解除します。

  1. クリア キー

  2. ドライバー ベースの自動ロック解除キー

  3. ADAccountOrGroup 保護機能

    1. サービス コンテキスト保護機能

    2. ユーザー保護機能

  4. レジストリ ベースの自動ロック解除キー

  

この機能を正しく動作させるには、Windows Server 2012 以降のドメイン コントローラーが必要です。

 

Windows PowerShell を使ってクラスターにディスクを追加する前に BitLocker をオンにする

BitLocker 暗号化は、クラスター記憶域プールへの追加する前または後のディスクに使えます。 ボリュームをクラスターに追加する前に暗号化する利点は、その操作を完了するためにディスク リソースを一時停止する必要がないことです。 クラスターに追加する前にディスクに対して BitLocker を有効にするには、次の手順を実行します。

  1. BitLocker ドライブ暗号化機能をインストールします (まだインストールしていない場合)。

  2. ディスクは NTFS 形式でフォーマットされていて、ドライブ文字が割り当てられていることを確認します。

  3. 選んだ保護機能を使って、ボリュームに対して BitLocker を有効にします。 次の Windows PowerShell スクリプトの例では、パスワード保護機能を使っています。

    Enable-BitLocker E: -PasswordProtector -Password $pw

  4. Windows PowerShell でクラスターの名前を特定します。

    Get-Cluster

  5. 次のようなコマンドでそのクラスター名を使って、ADAccountOrGroup 保護機能を追加します。

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    警告  

    BitLocker を有効にしたボリュームをクラスターの共有ボリュームとして共有するか、従来のフェールオーバー クラスターに適切にフェールオーバーするには、クラスター CNO を使って ADAccountOrGroup 保護機能を追加する必要があります。

     

  6. クラスター内のディスクごとに手順 1. 〜 6. を繰り返します。

  7. クラスターにボリュームを追加します。

Windows PowerShell を使ってクラスター化ディスクに対して BitLocker を有効にする

クラスター サービスが既にディスク リソースの所有元になっている場合は、BitLocker を有効にする前に、メンテナンス モードに設定する必要があります。 次の手順を実行して、クラスター化ディスクに対して BitLocker を有効にします。

  1. BitLocker ドライブ暗号化機能をインストールします (まだインストールしていない場合)。

  2. Windows PowerShell を使って、クラスター ディスクの状態を確認します。

    Get-ClusterResource "Cluster Disk 1"

  3. Windows PowerShell を使って、物理ディスク リソースをメンテナンス モードに切り替えます。

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

  4. 選んだ保護機能を使って、ボリュームに対して BitLocker を有効にします。 次の例では、パスワード保護機能を使っています。

    Enable-BitLocker E: -PasswordProtector -Password $pw

  5. Windows PowerShell でクラスターの名前を特定します。

    Get-Cluster

  6. 次のようなコマンドでクラスター名オブジェクト (CNO) を使って、ボリュームに ADAccountOrGroup 保護機能を追加します。

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    警告  

    BitLocker を有効にしたボリュームをクラスターの共有ボリュームとして共有するか、従来のフェールオーバー クラスターに適切にフェールオーバーするには、クラスター CNO を使って ADAccountOrGroup 保護機能を追加する必要があります。

     

  7. クラスター内のディスクごとに手順 1. 〜 6. を繰り返します。

  8. クラスターにボリュームを追加します。

manage-bde を使ってクラスターに BitLocker 暗号化ボリュームを追加する

manage-bde を使っても、クラスター化ボリュームに対して BitLocker を有効にすることができます。 次に示しているのは、既存のクラスターに物理ディスク リソースまたは CSV2.0 ボリュームを追加するために必要な手順です。

  1. BitLocker ドライブ暗号化機能がコンピューターにインストールされていることを確認します。

  2. 新しい記憶域が NTFS 形式でフォーマットされていることを確認します。

  3. ボリュームを暗号化し、回復キーを追加したら、manage-bde コマンド ライン インターフェイスを使って保護キーとしてクラスター管理者を追加します (例を参照)。

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker によってディスクが既にクラスターに含まれているかどうかが確認されます。 含まれている場合、管理者はハード ブロックが起こっているとわかります。 含まれていない場合は、暗号化が続行されます。

      2. -sync パラメーターは省略可能です。 このパラメーターを使うと、ボリュームの暗号化が完了するまで、コマンドは待機状態になります。完了後、そのボリュームはクラスター記憶域プールに解放されます。

  4. フェールオーバー クラスター マネージャー スナップインまたはクラスター PowerShell コマンドレットを開いて、ディスクをクラスター化します。

    • ディスクがクラスター化されたら、CSV に対して有効にすることもできます。

  5. リソースのオンライン操作の実行中、クラスターではディスクが BitLocker で暗号化されているかどうかが確認されます。

    1. ボリュームに対して BitLocker が有効になっていない場合は、従来のクラスターのオンライン操作が実行されます。

    2. ボリュームに対して BitLocker が有効になっている場合は、次のように確認されます。

      • ボリュームがロックされている場合、BitLocker は CNO を偽装し、CNO 保護機能を使ってボリュームのロックを解除します。 この操作が失敗した場合、ボリュームのロックが解除できず、オンライン操作が失敗したことが、イベントとしてログに記録されます。

  6. ディスクが記憶域プールでオンラインになったら、ディスク リソースを右クリックし、[クラスターの共有ボリュームに追加] を選ぶことで、CSV に追加できます。

CSV には、暗号化されたボリュームも暗号化解除されたボリュームも追加できます。 BitLocker 暗号化について特定のボリュームの状態を確認するには、管理者は、次のコマンド ラインの例に示しているように、CSV 名前空間内のボリュームへのパスを指定して、manage-bde -status コマンドを実行します。

manage-bde -status "C:\ClusterStorage\volume1"

物理ディスク リソース

CSV2.0 ボリュームとは異なり、物理ディスク リソースは、一度に 1 つのクラスター ノードによってのみアクセスできます。 つまり、ボリュームの暗号化/暗号化解除、ロック/ロック解除などの操作には、実行するためのコンテキストが必要です。 たとえば、物理ディスク リソースのロック解除や暗号化解除は、そのディスク リソースを所有するクラスター ノードの管理者でないとできません。そのディスク リソースを使えないためです。

クラスター化ボリュームでの BitLocker のアクションに関する制限

次の表では、物理ディスク リソース (従来のフェールオーバー クラスター化ボリューム) とクラスターの共有ボリューム (CSV) のそれぞれの状況で許可される BitLocker のアクションについて情報を示しています。

アクション

フェールオーバー ボリュームの所有者ノードで

CSV のメタデータ サーバー (MDS) で

CSV のデータ サーバー (DS) で

メンテナンス モードで

Manage-bde –on

ブロック

ブロック

ブロック

許可

Manage-bde –off

ブロック

ブロック

ブロック

許可

Manage-bde Pause/Resume

ブロック

ブロック**

ブロック

許可

Manage-bde –lock

ブロック

ブロック

ブロック

許可

manage-bde –wipe

ブロック

ブロック

ブロック

許可

Unlock

クラスター サービスによって自動実行

クラスター サービスによって自動実行

クラスター サービスによって自動実行

許可

manage-bde –protector –add

許可

許可

ブロック

許可

manage-bde -protector -delete

許可

許可

ブロック

許可

manage-bde –autounlock

許可 (非推奨)

許可 (非推奨)

ブロック

許可 (非推奨)

Manage-bde -upgrade

許可

許可

ブロック

許可

Shrink

許可

許可

ブロック

許可

Extend

許可

許可

ブロック

許可

 

  

manage-bde -pause コマンドはクラスターではブロックされますが、MDS ノードから一時停止された暗号化/暗号化解除はクラスター サービスによって自動的に再開されます。

 

物理ディスク リソースで変換中にフェールオーバー イベントが発生した場合、新しい所有元ノードでは変換が完了していないことが検出され、変換プロセスが完了されます。

CSV2.0 で BitLocker を使うときのその他の考慮事項

次に示しているのは、クラスター化記憶域で BitLocker を使うときのその他の考慮事項です。

  • BitLocker ボリュームは、CSV2.0 ボリュームに追加する前に、初期化されて暗号化が開始されている必要があります。

  • 管理者が CSV ボリュームの暗号化を解除する必要がある場合は、ボリュームをクラスターから削除するか、ディスク メンテナンス モードに切り替えます。 CSV は、暗号化解除の完了を待っている間、クラスターに戻すことができます。

  • 管理者が CSV ボリュームの暗号化を開始する必要がある場合は、ボリュームをクラスターから削除するか、メンテナンス モードに切り替えます。

  • 暗号化進行中に変換が一時停止し、CSV ボリュームがクラスターに対してオフラインになった場合、再びオンラインになると、変換がクラスター スレッド (正常性チェック) によって自動的に再開されます。

  • 暗号化進行中に変換が一時停止し、物理ディスク リソース ボリュームがクラスターに対してオフラインになった場合、再びオンラインになると、変換が BitLocker ドライバーによって自動的に再開されます。

  • 暗号化進行中に変換が一時停止し、CSV ボリュームがメンテナンス モードになった場合、メンテナンス モードから復帰すると、変換がクラスター スレッド (正常性チェック) によって自動的に再開されます。

  • 暗号化進行中に変換が一時停止し、ディスク リソース ボリュームがメンテナンス モードになった場合、メンテナンス モードから復帰すると、変換が BitLocker ドライバーによって自動的に再開されます。