Azure NetApp Files の保存時の二重暗号化
既定では、Azure NetApp Files 容量プールは保存時に単一暗号化を使います。 容量プールを作成するとき、容量プール内のボリュームに対して保存時に二重暗号化を使うオプションがあります。 これを行うには、作成している容量プールの暗号化の種類として double を選びます。
重要なデータは、多くの場合、金融機関、軍事利用者、企業顧客データ、政府記録、保健医療記録などの場所で見られます。 データによっては保存時の単一暗号化で十分であると考えられる場合もありますが、機密性の侵害が致命的となるデータには保存時の二重暗号化を使う必要があります。 顧客の機密データ、名前、住所、政府識別情報などの情報が漏えいすると、非常に大きな責任が生じる可能性がありますが、保存時の二重暗号化によってデータの機密性を保護することで、この問題を軽減できます。
データがネットワーク上で転送される場合、トランスポート層セキュリティ (TLS) などの追加の暗号化は、データの転送の保護に役立ちます。 しかし、データが到着すると、保存データの保護が脆弱性に対処するのに役立ちます。 Azure NetApp Files の保存時の二重暗号化を使うと、Azure データ センターの物理的にセキュリティで保護されたクラウド ストレージに固有のセキュリティが補完されます。
Azure NetApp Files の保存時の二重暗号化は、ハードウェアベースの暗号化レイヤー (暗号化された SSD ドライブ) とソフトウェア暗号化レイヤーの両方の 2 つのレベルの暗号化保護を提供します。 ハードウェアベースの暗号化層は、FIPS 140-2 認定ドライブを使って物理ストレージ レベルに存在します。 ソフトウェアベースの暗号化層はボリューム レベルで、第 2 レベルの暗号化保護を完了します。
この機能を初めて使う場合は、機能を登録してから、二重暗号化容量プールを作成する必要があります。 詳細については、「Azure NetApp Files 用の容量プールを作成する」を参照してください。
二重暗号化容量プールにボリュームを作成する場合、既定のキー管理 ([暗号化キー ソース] フィールド) は Microsoft Managed Key で、その他の選択肢は Customer Managed Key です。 カスタマー マネージド キーを使うには、Azure Key Vault やその他の詳細を追加で準備する必要があります。 カスタマー マネージド キーによるボリューム暗号化の使用の詳細については、「Azure NetApp Files ボリューム暗号化用にカスタマー マネージド キーを構成する」を参照してください。
重要
US Gov リージョンでの二重暗号化は、カスタマー マネージド キーではなく、プラットフォーム マネージド キーでのみサポートされます。
![二重暗号化容量プールの [ボリュームの作成] ページのスクリーンショット。](media/double-encryption-at-rest/double-encryption-create-volume.png#lightbox)
サポートされているリージョン
Azure NetApp Files の保存時の二重暗号化は、次のリージョンでサポートされています。
- オーストラリア中部
- オーストラリア中部 2
- オーストラリア東部
- オーストラリア南東部
- ブラジル南部
- ブラジル南東部
- カナダ中部
- カナダ東部
- インド中部
- 米国中部
- 東アジア
- 米国東部
- 米国東部 2
- フランス中部
- ドイツ中西部
- イスラエル中部
- 東日本
- 韓国中部
- 韓国南部
- 米国中北部
- 北ヨーロッパ
- ノルウェー東部
- カタール中部
- 南アフリカ北部
- 米国中南部
- 東南アジア
- スウェーデン中部
- スイス北部
- スイス西部
- アラブ首長国連邦北部
- 英国南部
- 英国西部
- US Gov アリゾナ*
- US Gov テキサス*
- US Gov バージニア*
- 西ヨーロッパ
- 米国西部
- 米国西部 2
- 米国西部 3
* US Gov リージョンでの保存時の二重暗号化は、カスタマー マネージド キーではなく、プラットフォーム マネージド キーでのみサポートされます。
考慮事項
- Azure NetApp Files の保存時の二重暗号化は、Standard ネットワーク機能をサポートしますが、Basic ネットワーク機能はサポートしません。
- Azure NetApp Files の保存時の二重暗号化の使用にかかるコストについては、Azure NetApp Files の価格ページを参照してください。
- 単一暗号化の容量プール内のボリュームを変換して、保存時の二重暗号化を使うようにすることはできません。 ただし、単一暗号化ボリュームのデータを、二重暗号化が構成された容量プールに作成されたボリュームにコピーすることはできます。
- 保存時の二重暗号化を使って作成された容量プールの場合、セキュリティを最大限に高めるため、容量プール内のボリューム名はボリューム所有者のみに表示されます。
- 保存時の二重暗号化を使うと、ワークロードの種類と頻度に基づいてパフォーマンスに影響を与える可能性があります。 パフォーマンスへの影響は、ワークロード プロファイルに応じて、最小限の 1 から 2% になる可能性があります。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示