IBM Cloud Docs
暗号化の概要

暗号化の概要

仮想プライベート・クラウド クラシック・インフラ

機密情報を保護するIBM Cloud® Kubernetes Serviceキー管理サービス (KMS) プロバイダーを設定することで、クラスターでデータの整合性を確保し、データが権限のないユーザーに公開されるのを防ぎます。

IBM Cloud Kubernetes Serviceクラスター内の複数のレイヤーで暗号化を提供します。 一部のコンポーネントの暗号化は IBM によって管理されますが、その他のコンポーネントについては、独自の KMS プロバイダー資格情報を持参して、自分で暗号化を管理するオプションがあります。

次の表は、暗号化オプションの概要を示しています。 IBM Cloud Kubernetes Serviceクラスター。

デフォルトとオプションのデータ暗号化
コンポーネント デフォルトで暗号化? キーサポートを持参する? 有効化時間 サポートされる KMS プロバイダー クロス・アカウント・サポート?
コントロール・プレーン ある いいえ クラスターの作成中。 IBM管理されたKey Protect 該当なし
ワーカー・ノードのディスク ある ある クラスターの作成中またはワーカー・プールの作成中。
  • Hyper Protect Crypto Services
  • Key Protect
 ある
クラスターのシークレット いいえ ある kms enable を使用してクラスターを作成した後。
  • Hyper Protect Crypto Services
  • Key Protect
 クロス・アカウントは、クラシック・クラスターと VPC クラスターでのみサポートされます。
永続ストレージ ストレージプロバイダーによる プロバイダーに依存 クラスターの作成後、ストレージのセットアップ時。
  • Hyper Protect Crypto Services
  • Key Protect
 ストレージプロバイダーによる
ワーカー間トラフィック(Worker-to-worker traffic) いいえ いいえ クラスターの作成後。 該当なし いいえ

コントロール・プレーン

コントロールプレーンの暗号化は、 IBM。

  • Kubernetes マスターのコンポーネントは、 IBM-管理されたキーを使用して、LUKSで暗号化されたドライブ上で起動する。
  • マスターの etcd コンポーネントは、デプロイメントやシークレットなど、Kubernetes リソースの構成ファイルを保管します。
  • etcd のデータは Kubernetes マスターのローカル・ディスクに保管され、IBM Cloud Object Storage にバックアップされます。
  • IBM Cloud Object Storage に転送中のデータも保存されたデータも暗号化されています。

ワーカー・ノードのディスク

アタッチされたディスクは、ワーカーノードのブート、コンテナファイルシステムのホスト、ローカルにプルされたイメージの保存に使用されます。 ディスクの暗号化と数は、インフラストラクチャー・プロバイダーによって異なります。

VPC ワーカー・ノード
デフォルトでは、VPCワーカーノードの1つのプライマリディスクは、 基盤となるVPCインフラストラクチャプロバイダによって 静止時に AES-256 ビット暗号化されます。 ワーカー・プール・レベルで KMS プロバイダーを有効化してワーカー・ノードの暗号化を管理することができます。 VPC ワーカー・ノードのディスクの暗号化について詳しくは、 VPC クラスターのワーカー・ノードのディスク暗号化のセットアップ を参照してください。
クラシック・ワーカー・ノード
1 次ディスクには、ワーカー・ノードをブートするためのカーネル・イメージが含まれています。 このディスクは暗号化されません。 2 次ディスクには、コンテナー・ファイル・システムとローカルにプルされたイメージが含まれます。 このディスクは、ワーカー・ノードに固有でありクラスター内に Kubernetes シークレットとして保管される IBM 管理対象 LUKS 暗号鍵を使用して AES 256 ビットで暗号化されます。 ワーカー・ノードを再ロードまたは更新すると、LUKS 鍵はローテーションされます。

クラスター・シークレット

Kubernetes シークレットは、デフォルトで base64 でエンコードされます。 IBM® Key Protect for IBM Cloud® や Hyper Protect Crypto Servicesなどの鍵管理サービス (KMS) プロバイダーを有効にすることで、 Kubernetes のシークレットおよびシークレットに保管されている資格情報をさらに保護できます。

クラスタの鍵管理サービス(KMS)プロバイダを有効にすると、自分のルート鍵を持参することになります。 ルート鍵は、クラスター内のシークレットを暗号化するために使用されるデータ暗号鍵 (DEK) を暗号化するために使用されます。 ルート鍵は、お客様が制御する KMS プロバイダー・インスタンスに保管されます。 暗号化された DEK は etcd に保管され、KMS プロバイダーからのルート鍵を使用してのみ非暗号化できます。 鍵の暗号化の仕組みについて詳しくは、エンベロープ暗号化を参照してください。

クラスターのシークレットの暗号化に関する以下の注意事項を確認してください。

  • クラスター・シークレットは、KMS を使用して暗号化されます。
  • クラスター・シークレットは、ルート鍵のローテーション後に自動的に更新されます。
  • ルート鍵を使用するクラスターは、KMS プロバイダー・インターフェースから表示できます。
  • ルート鍵を無効化、有効化、または復元すると、クラスターは自動的に応じます。
  • ルート鍵を無効にすると、鍵を再度有効にするまでクラスターの機能が制限されます。
  • ルート鍵を削除すると、クラスターが使用不能かつ復旧不能になります。
  • クラスター内で一度に有効にできる KMS プロバイダーとキーは 1 つだけです。
  • KMS プロバイダーとキーを切り替えることができます。
  • KMS プロバイダー暗号化は無効にはできません。

クラスタシークレット暗号化を設定するには、クラスターシークレットの暗号化の設定

永続ストレージ

使用する永続ストレージのタイプに応じて、KMS プロバイダーを有効にすることで、ストレージ・ボリュームに書き込まれるデータを暗号化できます。 使用可能な永続ストレージと暗号化のタイプについて詳しくは、 ストレージ・オプションについて を参照してください。

ワーカー間トラフィック (Worker-to-worker traffic)

WireGuardを使用して、クラスター内のワーカー・ノード間を流れるデータの暗号化をセットアップできます。 詳しくは、 WireGuardを使用したワーカー間トラフィックの暗号化 を参照してください。

次のステップ

計画プロセスを続けるには、ストレージオプション を選択します。 暗号化を始める準備ができたら、KMSインスタンスとルート・キーの作成 に進んでください。