連投気味で失礼します。piyohikoです。 Alibaba Cloud Advent Calendar 2018も、もう22日目です。
Alibaba Cloudの基本プロダクトである、OSS、RDS、SLBは暗号化対応していましたが、実はECSは暗号化機能がありませんでした。それがついに暗号化機能が搭載されましたので、ご紹介いたします。 (先日ECSの購入時のポイントという記事をご紹介しましたが、中でも説明しきれなかったECSのディスク暗号化機能です)
はじめに
セキュリティは、オンプレでもクラウドでも頭を抱える部分です。高度なセキュリティ要件が求められるビジネスや、セキュリティレベルをあげたいけれども運用や設定が面倒で迷っている方も多いのではないでしょうか。今回ご紹介する、ECSのディスク暗号化はまさに1クリックのみで、さらに無償でセキュリティ向上を実現できる機能になっています。
ECSディスク暗号化の仕組み
ECSのディスク暗号化は Key Management Service (以下、KMS)を利用して行われ、ECS購入時にコンソールで「暗号化」にチェックをつける以外の操作は必要ありません。 ECSディスクの暗号化を実行すると、Customer Master Key (CMK) というECS専用の鍵が KMS 上で自動的に作成されます。そのため、複合化のための操作や鍵の管理は不要です。 暗号化と復号化は、ECS インスタンスが稼働するホスト上実行でされ、ECS インスタンスからクラウドディスクに送信されるデータは自動的に暗号化されます。 ※Key Management Service (KMS)については別記事にてご紹介します!
基本的な設定方法
- ECSの購入画面でデータディスクの『暗号化された』にチェックを入れます。
-
ECSの購入画面「プレビュー」で『ECS SLAと利用規約に同意する|キーマネージメントサービスの条件』にチェックを入れます。
※もちろん、APIやCLIを利用して実行することもできます。詳しくはこちら。
動作確認
-
ECSのディスクリストを表示します。ステータスが『暗号化』になっています。※なお、暗号化されたディスクからスナップショットを作成した場合、そのイメージも暗号化されます。
-
KMSのコンソールを表示します。CMKが表示されています。
気になったこと
気になった事項をピックアップいたします。
・現在利用しているディスクを暗号化することはできますか。 →ディスク(スナップショット)を直接暗号化・復号化することはできません。 しかし、データをrsyncコマンドまたはrobocopyコマンドでコピーすることはできます。新規で暗号化ディスクを作成しアタッチ後データをコピーすることで同様の操作をすることができます。(逆も可能です) ・暗号化の金額は? →暗号化機能やディスクに対する読み取り/書き込み操作には料金はかかりません。ただし、一定の操作を行うとKMS API が呼び出され、KMS API クォータを消費します。 例)AttachDisk を呼び出して、暗号化されたディスクをインスタンスにアタッチする ・システムディスクは暗号化できません。 ・CMKはシステムによって自動的に作成されます。手動でCMK を作成することはできません。
まとめ
このECSディスク暗号化機能はクラウドディスクのデータを保護します。しかし、ECS経由でディスクにアクセスした場合は、自動的に復号化され通常のシスクと変わらない動きをします。したがって、ECSインスタンスの乗っ取りなどには有効な防衛手段ではありません。
しかし、仮にクラウドディスク抜き取られたとしても、この機能を有効にしておけば、悪意のある第三者がデータを復号化することは非常に困難です。
もちろん、OSの標準機能やツールを利用してディスクの暗号化をすることはできますが、運用が煩雑になりがちです。Alibaba CloudのECSディスク暗号化機能は手軽に設定することができ、且つ気軽に利用することができます。