👏

[Azure] ストレージの暗号化について整理

2023/10/29に公開

ユースケースがごっちゃになったので簡易整理

SSE(Storage Service Encryption)
- ストレージアカウントが対象
- Azureのマネージドディスクにデータを保存（永続化のみ）される時に暗号化
ホスト側での暗号化
- SSEのオプション機能の１つ
- （VMの場合）物理ホストごと暗号化
- エンドツーエンドの暗号化（途中で誰かが改ざん不可能）
  - ディスクとしての役割を持つエンドポイトと計算マシンとしての役割をもつエンドポイント間でのエンドツーエンドの暗号化のイメージ
- DC内の物理機器が盗難された時などのセキュリティ対策
ADE(Azure Disk Encryption)
- VHDの暗号化
- エクスポートして別VMでマウントすると見れてしまうので、それを防ぐために利用
- 若干のCPU・メモリを利用する（パフォーマンスに影響はないとされている）

上の整理だけ見ると、悪意のある複製操作によるセキュリティ対策を主としたADEと、実際のデータの保存でのセキュリティ（E2Eやサーバ側での暗号化）を主としたSSE（ホストでの暗号化）があると感じた。

ホスト側での暗号化は制約があるようなのが気になりどころ