暗号化

End of Marketing: As of 17 July 2025, new deployments of VMware Regulated Workloads instances are no longer available for new customers. If you are an existing customer, you can still add or delete clusters, add or delete VMware ESXi™ servers or NFS storage, and add or remove services for your existing Regulated Workloads instances. As an existing customer, you can also view or delete your Regulated Workloads instances.

IBM Cloud® for Regulated Workloads は、暗号化を利用して、管理 VM と本番 VM を静止中または転送中に保護します。 VMware® VMware vSphere® VMware vSphere 暗号化は、 vSAN ストレージを含む、すべてのタイプの VMware ストレージに適用される。 vSphere 暗号化ソリューションでは、 VMware vCenter Server® と ESXi™ ホストが鍵管理サーバーに接続し、必要な暗号化鍵を取得します。それらの鍵を使用して、個々の仮想マシン (VM) ディスクを VM ストレージ・ポリシーに従って保護します。

vSphere 暗号化は VM ディスクのレベルで行われるため、物理ディスク・ドライブと VM ディスクのどちらが失われた場合でも規制対象データの漏えいを防ぐことができます。バックアップ/レプリケーションのテクノロジーの多くは、VM が暗号化されていると、バックアップとレプリケーションが有効に機能しません。また、 vSphere 暗号化は、 cross-vCenter vMotion, VMware HCX™、またはZertoとは互換性がありません。しかし、Veeam Backup and Replication は、適切に構成されていれば、vSphere 暗号化と一緒に使用できます。

Hyper Protect Crypto Services

IBM Cloud Hyper Protect Crypto Services (HPCS) は、Keep Your Own Key (KYOK) をサポートする鍵管理サービス (KMS) です。 HPCS は Enterprise PKCS#11 (EP11) を介してアクセスできますが、VMware vSphere 暗号化は、KMIP 標準を使用する鍵管理システム (KMS) のみをサポートします。そのため、vCenter Server アプライアンスと HPCS の間のアダプターとして機能する KMIP アダプターが必要になります。

IBM Cloud HPCS は、FIPS 140-2 レベル 4 認定ハードウェア・セキュリティー・モジュール (HSM) によって支えられています。大まかには、IBM HPCS は以下のコンポーネントで構成されます。

暗号装置 - ハードウェア 1 台 (HSM) および対応するソフトウェア・スタックを表す単一の装置であり、どちらも単一のテナントに専用です。
サービス・インスタンス - 暗号装置のクラスター。単一の論理エンティティーとして動作して冗長性とスケーラビリティーを提供します。高可用性（HA）を実現するために、HPCSのインスタンスごとに少なくとも2つのクリプトユニットを用意することを推奨する。

HPCSは、マルチゾーン・リージョン（MZR）アーキテクチャの高可用性ソリューションです。地域横断的なHAは、フットプリントが拡大している一部の地域で利用可能である。

VMware インスタンス用の KMIPは、インスタンスへのアクセス権限を持つ IBM Cloud ID およびアクセス管理 (IAM) サービス ID を使用して、Hyper Protect Crypto Services インスタンスに対して許可されます。このサービス ID には、少なくとも、鍵マネージャー・インスタンスに対するプラットフォームの Viewer アクセス権限とサービスの Manager アクセス権限が必要です。 KMIP for VMware は、鍵マネージャー・インスタンス内のカスタマー・ルート鍵 (CRK) を使用し、VMware のために生成されたすべての KEK を鍵マネージャー・インスタンスにラップ形式で保管します。

プライベート・ネットワーク経由で KMIP for VMware にアクセスするには、クラウドのサービス・エンドポイントを使用します。セットアップ中に、VMware vCenter と ESXi は、デプロイされている KMIP インスタンスとの信頼関係を確立します。 VMware vCenter と ESXi は、鍵管理サーバー (KMS) への接続の作成時に、VMware vCenter 内の証明書を使用して KMIP アダプター・インスタンスで認証を受けます。接続を許可された vCenter クライアントを識別するために、KMIP にパブリック証明書をインストールします。各クライアントに、その KMIP for VMware インスタンス内に保管されているすべての鍵へのアクセスが許可されます。

vSphere 暗号化のための Hyper Protect Crypto Services - サード・パーティーなし

次の図は、HPCS/KMIP 統合を使用した標準的な vSphere 暗号化セットアップを示しています。

vSphere 暗号化暗号化 - 第三者を介さない Hyper Protect Crypto Services — vSphere Hyper Protect Crypto Services

vSphere 暗号化のための Hyper Protect Crypto Services - SaaS プロバイダーのユース・ケース

HPCSにより、 SaaS プロバイダーと SaaS 消費者は、規制データへの不正アクセスを防ぐ最高レベルのセキュリティで、重要なワークロードを IBM Cloud。 SaaS プロバイダーも SaaS 利用者も、クラウド内の自分の鍵と規制対象データを完全に自分自身で管理します。IBM を含め、規制対象データには誰もアクセスできません。また、完全な鍵にも誰もアクセスできません。必要に応じて、複数人の暗号装置管理者を配置できます。

vSphere encryption with encryption with for providers Hyper Protect Crypto Services — vSphere Hyper Protect Crypto Services SaaS

SaaS プロバイダーは、 Hyper Protect Crypto Services と KMIP for VMware インスタンスの両方を Regulated Workloads インスタンスにデプロイし、管理する責任がある。仮想化管理者が、vCenter に KMS クラスター構成を作成します。 SaaS 利用者と SaaS プロバイダーの規制対象データを保護するために、それぞれに独自の HPCS インスタンスとルート鍵を使用することをお勧めします。 2 つの鍵を使用する方式により、関係者の権利と責任のバランスを取ることができます。

デュアルHPCSの概要

HPCS - 独立系ソフトウェア・ベンダー (ISV) ビュー

SaaS プロバイダーは、Regulated Workloads 配備の一部としてプロビジョニングされた HPCS に、ルート鍵マテリアルを初期化する。この鍵が管理プラットフォームに組み込まれて、vSphere 暗号化や vSAN 暗号化など、プラットフォーム・コンポーネントの暗号化用のツールで使用されます。

HPCS - 金融機関の視点

SaaS 利用者が、独自の HPCS インスタンスを管理し、独自のルート鍵素材を導入します。この鍵が、SaaS 利用者の規制対象データのセキュリティーにとって重要な鍵になります。利用者は、関与する個々の SaaS プロバイダーのために「子孫」の鍵を生成することができます。

SaaS 利用者の規制対象データの保護には、SaaS 利用者から提供された鍵が使用されます。

HPCS のフロー

KMIP を注文して初期設定するためのステップバイステップのプロセスを以下の資料で確認してください。