Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@youyonghua(you yonghua)

Azure VMセキュリティの種類(Standard VM、トラステッド起動の仮想マシン、機密の仮想マシン)について

Posted at

Azureでは、仮想マシン(VM)のセキュリティを強化するために、さまざまなオプションが提供されています。主に「Standard VM」、「トラステッド起動の仮想マシン(Trusted Launch VM)」、そして「機密の仮想マシン(Confidential VM)」の3種類があり、それぞれのセキュリティレベルや目的が異なります。これらの違いについて説明します。

1. Standard VM(通常の仮想マシン)

Standard VMは、Azureの基本的な仮想マシンで、一般的なセキュリティ機能を提供します。セキュリティのベースラインを確保し、企業や開発者に対して基本的な保護を提供しますが、機密性や信頼性の高い要件に応じた追加のセキュリティ機能は標準では提供されません。

  • 基本的なセキュリティ機能:
    • Azure Disk Encryption
    • Azure Security Centerによる脅威検出と推奨事項
    • Azure Network Security Groups(NSGs)によるネットワークセキュリティ
    • Azure Backupによるデータ保護
  • 対象: 基本的なセキュリティ要件のある一般的なワークロードやアプリケーション向け。

利用例:

  • 開発・テスト環境や、あまり厳密なセキュリティ要件がない小規模アプリケーションの運用に適しています。

2. トラステッド起動の仮想マシン(Trusted Launch VM)

トラステッド起動の仮想マシンは、セキュリティをさらに強化した仮想マシンであり、ファームウェアのセキュリティを含めた追加の保護を提供します。これにより、VM起動プロセスの信頼性を確保し、マルウェアやルートキットなどの高度な脅威から保護します。

  • 主なセキュリティ機能:
    • 仮想化ベースのセキュリティ(VBS): メモリを隔離し、OSの重要な部分を保護します。
    • TPM 2.0(Trusted Platform Module): 起動時にセキュリティチェックを実行し、ハードウェアの整合性を検証します。
    • セキュアブート: 仮想マシンの起動時に信頼できるソフトウェアのみが実行されるように検証します。
    • メジャーコード整合性検証: OSやドライバが改ざんされていないかを確認。
  • 対象: より高いセキュリティ要件がある場合や、政府機関や金融機関などで、起動プロセスやハードウェアに対して信頼性が求められる場合。

利用例:

  • 信頼性が重要なビジネスクリティカルなアプリケーションや、コンプライアンス要件が厳しい業界向けのワークロード。

3. 機密の仮想マシン(Confidential VM)

機密の仮想マシンは、Azureで提供される最高レベルのセキュリティを提供するVMです。これにより、データが使用中の状態でも暗号化され、完全なデータ保護が実現します。ハードウェアに基づくセキュリティ機能が組み込まれており、仮想マシン内の機密データがAzureや他のユーザーから保護されます。

  • 主なセキュリティ機能:
    • AMD SEV-SNP(Secure Encrypted Virtualization – Secure Nested Paging): データが使用中でも暗号化され、完全なデータ保護が提供されます。
    • ハードウェアベースのセキュリティ: 機密のVMは、物理ホスト自体が信頼され、ホスト上の他のVMやAzureのオペレーターからもデータが隔離されます。
    • 使用中データの暗号化: 通常、データは保存中や送信中に暗号化されますが、機密のVMは「使用中」のデータも保護します。
  • 対象: 極めて厳密なデータ保護が必要な業界や、使用中のデータも暗号化してセキュリティを確保する必要があるワークロードに最適です。

利用例:

  • 医療業界での機密性の高い患者データの保護や、金融業界での重要な財務データの取り扱いなど、厳格なプライバシー要件を持つケース。

まとめ

特徴 Standard VM トラステッド起動の仮想マシン(Trusted Launch VM) 機密の仮想マシン(Confidential VM)
起動時セキュリティ なし TPM 2.0、セキュアブート、VBS AMD SEV-SNPによる保護
データ保護(使用中) 保存中・転送中のみ暗号化 保存中・転送中のみ暗号化 使用中データも暗号化
主な利用ケース 一般的なアプリケーション 高い信頼性とセキュリティが求められる業務用アプリ 機密性の高いデータを扱う業務
ハードウェアセキュリティ 基本的な保護 追加のハードウェアベース保護 ハードウェアベースの完全な隔離と暗号化

このように、Azureでは用途やセキュリティ要件に応じて異なる仮想マシンの種類を選択できるため、アプリケーションのニーズに合った適切なセキュリティレベルを確保できます。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?