IBM Cloud Docs
VPC でのデータの保護

VPC でのデータの保護

IBM Cloud® Virtual Private Cloud を使用する際にデータを安全に管理するには、正確に何のデータが保管され暗号化されているかということと、保管されている個人データを削除する方法について知っている必要があります。 サポートされているキー管理サービス(KMS)を使用することで、お客様独自のルートキーによるデータ暗号化が可能です。

VPN for VPC は、VPN ゲートウェイ、接続、ポリシーの構成に必要なもの以外の顧客データを保管しません。 VPNゲートウェイを通じて送信されるデータは、 IBM によって暗号化されません。 特定の VPN とポリシーの構成に関するデータは、転送中も保存中も暗号化されます。 VPN 構成データは、API またはユーザー・インターフェースを介した要求により削除されます。

VPC でデータがどのように保管され暗号化されているか

デフォルトでは、すべてのブロック・ストレージ・ボリュームは IBM 管理の暗号化を使用して暗号化されます。IBM® 管理の鍵は、生成された後、Consul を基盤とするブロック・ストレージ・ボールトに安全に保管され、IBM Cloud® の運用によって保守されます。

より高いセキュリティと管理を実現するために、独自のルートキー(カスタマールートキーまたはCRKとも呼ばれる)でデータを保護することができます。 この機能は通常、Bring Your Own Key または BYOK と呼ばれます。 ルート鍵は、データを保護する鍵を暗号化します。 お客様所有のルート鍵を Key Protect または Hyper Protect Crypto Services にインポートすることも、鍵管理サービスでルート鍵を自動作成することもできます。

KMS は、鍵を保管し、ボリュームおよびカスタム・イメージの暗号化中にその鍵を使用できるようにします。 Key Protect は、FIPS 140-2 レベル 3 準拠を提供します。 Hyper Protect Crypto Services は、FIPS 140-2 レベル 4 コンプライアンスで最高レベルのセキュリティーを提供します。 鍵素材は、転送中 (移送されているとき) も保存中 (格納されているとき) も保護されます。

お客様管理の暗号化は、カスタム・イメージ、ブート・ボリューム、およびデータ・ボリュームに使用できます。 暗号化されたカスタム・イメージからインスタンスがプロビジョンされると、このイメージのルート鍵を使用してそのブート・ボリュームが暗号化されます。 別のルート鍵を選択することもできます。 データ・ボリュームは、仮想サーバー・インスタンスをプロビジョンするとき、またはスタンドアロン・ボリュームを作成するときに、ルート鍵を使用して暗号化されます。

画像やボリュームは、実際には エンベロープ暗号化データ暗号鍵を使用してデータを暗号化し、完全に管理可能なルート・キーを使用して鍵を暗号化するプロセス。が使用されているにもかかわらず、ルートキーで暗号化されていると表現されることがよくあります。 内部では、各画像またはボリュームは データ暗号化キー(DEK)アプリケーションに保管されているデータを暗号化するために使用される暗号鍵。 で暗号化されます。これは、 IBM Cloud VPC Generation 2インフラストラクチャで使用されているオープンソースのQEMUテクノロジーです。 LUKSパスフレーズ (キー暗号化キー とも呼ばれる)は、DEKを暗号化します。 続いて LUKS パスフレーズがルート鍵を使用して暗号化され、ラップされた DEK (WDEK) と呼ばれるものが作成されます。 IBM Cloud VPC の鍵暗号化テクノロジーについて詳しくは、IBM Cloud VPC 第 2 世代暗号化テクノロジーを参照してください。

例えば、同じルート鍵を使用して 2 つのボリュームをプロビジョンする場合、ボリュームごとに固有のパスフレーズが生成されてから、ルート鍵を使用して暗号化されます。 エンベロープ暗号化により、データの保護が強化され、データを再暗号化せずにルート鍵をローテートできるようになります。 エンベロープ暗号化について詳しくは、VPC での機密データの保護を参照してください。

VPN for VPC とのすべての対話が暗号化されます。 例えば、APIを使用したり、コンソールからサービスとやりとりしてVPNゲートウェイやVPN接続を設定する場合、そのようなやりとりはすべてエンドツーエンドで暗号化されます。 同様に、お客様の設定に関連するデータ要素は、送信中および保存中は暗号化されます。 個人データや機密データは、保管、処理、送信されません。 保存データは暗号化されたデータベースに保管されます。

VPN for VPC がプロビジョンされてネットワーク接続が作成された後、ネットワークを介して送信することを選択したデータの暗号化はユーザーの責任で行われます。

インスタンス・ストレージ・データの分離と暗号化

仮想サーバーインスタンスに接続されているインスタンスストレージディスクまたはディスクは、他の仮想サーバーと共有することはできず、将来的に他の仮想サーバーからアクセスすることもできません。 インスタンス・ストレージを要求した仮想サーバーにのみ接続され、そのサーバーで 1 回のみ使用できます。

インスタンス・ストレージのデータは、オンディスク暗号化を使用して保護されます。 インスタンスストレージに使用される物理ディスクは、強力な AES-256 暗号化標準規格による自己暗号化機能を備えています。 インスタンスがデータにアクセスすると、データは自動的に復号されます。 インスタンスがシャットダウンまたは削除されると、基盤のストレージ・スペースが消去され、復旧不能になります。 この時点で、データは復旧不能になります。

データは、ドライブのレベルで物理メディア上で自動的に暗号化されます。 ただし、お客様管理の鍵は、インスタンス・ストレージではサポートされません。 機密データについては、LUKS for Linux® や BitLocker for Windows® などのソフトウェア・ベースのファイル・システム暗号化を使用することを強くお勧めします。 このテクノロジーにより、エンド・ユーザーはインスタンス内で完全に暗号化することができ、インスタンスと物理ドライブ・メディアの間で転送される機密データをさらに保護することができます。 一部のオペレーティング・システムに装備されている FIPS 認定の暗号化アルゴリズムを使用することもできます。 Red Hat Enterprise Linux® での暗号化方法の例については、LUKS を使用したブロック・デバイスの暗号化 を参照してください。ただし、各デバイスの暗号化方法については、オペレーティング・システムの資料または具体的な情報を参照してください。

VPC での機密データの保護

Key Protect または Hyper Protect Crypto Services は、エンベロープ暗号化と呼ばれる高水準の保護を提供します。

エンベロープ暗号化では、ある暗号鍵が別の暗号鍵で暗号化されます。 DEK はお客様の実際のデータを暗号化します。 DEK が保管されることはありません。 むしろ、鍵暗号化鍵で暗号化されます。 続いて LUKS パスフレーズがルート鍵で暗号化され、WDEK が作成されます。 データを復号するときは、ボリューム上に保管されているデータにアクセスできるように、WDEK がアンラップされます。 このプロセスは、KMS インスタンス内に保管されているルート鍵にアクセスすることによってのみ実行できます。 Hyper Protect Crypto Services インスタンスのルートキーも、 ハードウェアセキュリティモジュール(HSM)オンデマンド暗号化、キー管理、およびキー・ストレージをマネージド・サービスとして提供する物理アプライアンス。 マスターキーによって保護されています。

IBM Cloud® の KMS インスタンスに保管されているルート鍵へのアクセスは、IBM Cloud® Identity and Access Management (IAM) を使用してお客様が管理します。 鍵を使用するためのアクセス権限をサービスに付与します。 アクセス権限をいつでも (鍵が漏えいした疑いがある場合など) 取り消したり、ルート鍵を削除したりすることもできます。

VPN for VPC: お客様が提供した事前共有鍵は、データベースに保存される前に暗号化されます。 VPN ゲートウェイと VPN ポリシー構成のその他のデータはすべて、保存中にデータベース・レベルで暗号化されます。

カスタマー・マネージド・キーについて

ブロック・ストレージ・ボリュームと暗号化イメージについては、ルート鍵をローテートすることでセキュリティーを強化できます。 定期的に、またはオンデマンドでルート鍵をローテートすると、元の鍵素材が置き換えられます。 古い鍵は、既存のボリュームの復号には有効なままですが、新しいボリュームの暗号化には使用できません。 詳しくは、VPC リソースの鍵のローテーションを参照してください。

お客様管理の暗号化を使用することを選択する場合は、地域および地域間の影響を考慮してください。 詳しくは、リージョン別およびクロスリージョンの考慮事項を参照してください。

Key Protect または Hyper Protect Crypto Services を使用すると、ルートキーの作成、インポート、管理が可能です。 アクセス・ポリシーを鍵に割り当てたり、ユーザーまたはサービス ID を鍵に割り当てたり、鍵へのアクセスを特定のサービスに対してのみ付与したりできます。 最初の 20 個の鍵は無料です。

お客様管理の暗号化ボリュームとイメージについて

お客様管理の暗号化では、ルート鍵をプロビジョンしてクラウド内の暗号化リソースを保護します。 ルート鍵は、データを保護する暗号鍵を暗号化する鍵ラッピング鍵として機能します。 既存のルート鍵をインポートするか、サポートされている KMS でルート鍵を作成するかを判断します。

ブロック・ストレージ・ボリュームには、インスタンスのホスト・ハイパーバイザーによって生成された固有のデータ暗号鍵が割り当てられます。 各ボリュームのデータ暗号鍵は、KMS が生成した固有の LUKS パスフレーズで暗号化されます。そして、そのパスフレーズがルート鍵によって暗号化され、KMS に保管されます。

カスタム・イメージは、QEMU を使用して、お客様が作成した独自の LUKS パスフレーズで暗号化されます。 イメージを暗号化したら、KMS に保管されている CRK でパスフレーズをラップします。 詳しくは、暗号化カスタム・イメージを参照してください。

VPC でのお客様管理の鍵の有効化

お客様管理の暗号化を使用して Block Storage ブート・ボリュームおよびデータ・ボリュームを作成するには、以下の手順を参照してください。

VPC でのお客様管理の鍵の操作

データ暗号化の管理に関する詳細は 、「データ暗号化の管理」 および ルートキーへのサービス認証を削除して アクセスを一時的に無効にする方法のセクションを参照してください。

IBM Cloud 外のお客様のワークロードと IBM Cloud 内のワークロードとの間のリンクの暗号化は、お客様の責任です。 『セキュリティーおよび規制コンプライアンス』の_『暗号化』_を参照してください。

VPC でのデータの削除

ルート鍵の削除

ルートキーの削除に関する詳細は 、「ルートキーの削除」 を参照してください。

ブロック・ストレージ・ボリュームの削除

Block Storage ボリュームの削除に関する詳細は 、 Block Storage for VPC の FAQ をご覧ください。

カスタム・イメージの削除

IBM Cloud VPCからカスタム・イメージを削除する方法について詳しくは、 カスタム・イメージの管理 を参照してください。 カスタム・イメージを使用してプロビジョンした仮想サーバー・インスタンスに注意してください。 特定のカスタム・イメージに関連付けられたすべてのデータを削除するには、カスタム・イメージからプロビジョンされたすべてのインスタンスおよび関連するブート・ボリュームも、必ず削除するようにしてください。

プライベートカタログ提供の一部であるカスタム IBM Cloud VPC 画像を削除したい場合、まずその画像を関連するプライベートカタログ提供のバージョンから削除する必要があります。 その後、カスタム画像をから削除できます IBM Cloud VPC。 プライベート・カタログからカスタム・イメージを削除するには、 プライベート製品の非推奨化 を参照してください。

VPC インスタンスの削除

VPCおよび関連リソースの削除に関する詳細は 、「VPCの削除」 を参照してください。

サービスの削除後にデータが保持される期間については、VPC データ保持ポリシーに説明されています。 データ保持ポリシーは、IBM Cloud® Virtual Private Cloud サービス記述書に含まれています。これは IBM Cloud のご利用条件と特記事項にあります。

VPN と VPN ポリシーの構成は、API またはユーザー・インターフェースによる要求時に削除されます。

VPC での削除されたデータの復元

KMS にインポートした削除済みのルート鍵は、削除後 30 日以内は復元できます。 詳しくは、削除されたルート鍵の復元を参照してください。

VPN for VPC は、削除されたデータの復元をサポートしていません。

すべての VPC データの削除

IBM Cloud VPC が保管する永続データをすべて削除するには、以下のいずれかのオプションを選択します。

個人情報と機密情報を削除するには、すべての IBM Cloud VPC リソースも削除することが必要です。 作業を進める前に、データがバックアップされていることを確認してください。

  • IBM Cloud サポート Case を開きます。 IBM サポートに問い合わせて、IBM Cloud VPC から個人情報と機密情報を削除してください。 詳しくは、サポート・センターの使用を参照してください。
  • IBM Cloud サブスクリプションを終了します。 IBM Cloud サブスクリプションの終了後、IBM Cloud VPC により、作成したすべてのサービス・リソースが、それらのリソースに関連付けられているすべての永続データを含めて削除されます。