はじめに
前回に引き続きNutanixバイブルを読み進めていきます。前回の記事はこちら。 cloudshopper.hatenadiary.com
※個人的な勉強メモとなりますので、記載内容について一切の責任は持ちません。
※また、個人的に感じたことは網掛け部分に記載しています。
今日のトピックス
・Nutanix Cloud バイブル(日本語版)を読んで内容をまとめてみる。
・本記事の対象は、「AOS (Storage for Compute VMs)」-「10.2 セキュリティ」-「10.2.1 データ暗号化とキー管理」。
データ暗号化の概要
データ暗号化とは、許可された人だけがデータを理解(閲覧)できるようにする技術です。暗号化されたデータが流出しても、キーが無ければ解読(複合)することができません。データ暗号化にはいくつか種類が存在します。
- データ暗号化方式の種類
| 方式 | 内容 | 例 |
|---|---|---|
| 共通鍵暗号方式 | 同じキーで暗号化・復号化 | AES、Blowfish、PGP(共通鍵モード) |
| 公開鍵暗号方式 | 公開鍵で暗号化・秘密鍵で復号化 | RSA、PGP(公開鍵モード) |
- データ暗号化の対象(使用される状況)
- 転送中のデータ
- 保存時のデータ
※Nutanixでは、ソフトウェアベースの暗号化の暗号化によって、SED(自己暗号化ドライブ)の有無にかかわらず、上記の対応が可能。
Nutanixの暗号化方式
Nutanixでは主に3つの方法でデータの暗号化をサポートしています。
| 方式 | 内容 |
|---|---|
| ソフトウェア暗号化 | AES-256による暗号化。 |
| SED暗号化 | デバイス自体が暗号化を実施。 |
| ソフト+ハード暗号化 | 両方を組み合わせることでより高セキュリティへ。 |
暗号化は、ハイパーバイザーのタイプに応じて、クラスタまたはコンテナ単位で設定することが可能です。暗号化の状況はPrismのGUIから確認可能です。
暗号化の仕組み
- ソフトウェア暗号化
- AES-256を利用して暗号化。
- チェックサム単位で暗号化・復号化。
- 重複排除・圧縮後にデータ暗号化されるためスペース効率は維持。
- 暗号化されたデータはRFに従って他CVMへも複製。
- SED暗号化
キー管理(KMS)
Nutanixは、ネイティブKMS(LKM)と外部KMS(Vormetric、SafeNetなど)の両方に対応しています。使用できるキーの種類は3種類あります。
- キーの種類
| キー | 役割 |
|---|---|
| DEK(データ暗号化キー) | 実際のデータ暗号化に使用 |
| KEK(キー暗号化キー) | DEKを暗号化 |
| MEK(マスター暗号化キー) | KEKを暗号化(LKM使用時のみ) |
MEKはクラスタノードに分散保存されており、耐障害性とセキュリティが確保されます。キーを再構成する場合は、クラスタノードの半数以上のノードが必要になります。
おわりに
今回は暗号化と鍵に関する話でした。基本的なことは押さえていたつもりですが、改めて読むことで気づきがありますね。利用者視点ではあまり意識する箇所ではないですが、管理者の立場として裏でどんな実装になっているかは理解したいです。
「Nutanixバイブル読んでみた」シリーズのリンク集はこちら!よろしければ別の章もご覧ください! cloudshopper.hatenadiary.com
