ディスク暗号化状況の検証

VPC インスタンスの Hyper Protect Virtual Servers 内のルート・ディスクとデータ・ディスクの両方が、 Linux Unified Key Setup (LUKS) 暗号化を使用して暗号化されます。 暗号化の状況を確認するには、ログ内のメッセージを確認します。

• ルート・ディスクが再作成され、元の内容でブートされるたびに暗号化されます。 ルート・ディスクのパスフレーズは保管されません。

• データ・ディスク暗号化は、契約内の workload セクションおよび env セクションで提供される「シード」を使用して構成されます。また、 統合を有効にする場合は、 Hyper Protect Crypto Servicesからの 3 番目のシードを使用して構成されます。 インスタンスの開始時に、シードを使用して LUKS パスフレーズを作成することにより、ディスクが接続され、暗号化されます。 シード情報またはデータ・ディスクが構成されていない場合、インスタンスは開始に失敗します。 詳しくは、契約の workload - volumes サブセクション を参照してください。

ディスク暗号化状況検査デーモンは、1 時間ごとに、インスタンスに接続されているルート・ディスクとデータ・ディスクの暗号ヘッダーを検査し、ディスク暗号化状況に関する情報メッセージをログに書き込みます。

以下の例は、ログ内のディスク暗号化チェック関連メッセージを示しています。

...
Nov 29 10:24:07 hpvs211vsi verify-disk-encryption info HPL13000I: Verify LUKS Encryption...
Nov 29 10:24:07 hpvs211vsi systemd info verify-disk-encryption-invoker.service: Succeeded.
...
Nov 29 10:24:08 hpvs211vsi verify-disk-encryption info Checked for mount point /mnt/data, LUKS encryption with 1 key slot found
Nov 29 10:24:08 hpvs211vsi verify-disk-encryption info HPL13001I: Root disk and all the data disks are encrypted
...

注:

1. ディスク暗号化状況検査の間隔を構成することはできません。

2. サービス妨害攻撃に対処するために、要求は 5 分ごとに 3 分でスロットルされます。

3. マウントされたデータ・ボリュームが暗号化されていることを確認するために、VSI で明示的に echo 'HPL13000I' | systemd-cat をトリガーすることができます。結果はログに取り込まれます。