Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

13.3.2. 一時ディスクの暗号化

一時ディスク暗号化機能では、データのプライバシーに対応します。一時ディスクは、仮想ホストのオペレーティングシステムで使用される一時的な作業領域です。暗号化しないと、このディスクでは機密ユーザー情報にアクセスでき、ディスクがアンマウントされた後も重要な情報が残される可能性があります。以下の一時ディスク暗号化機能がサポートされます。

13.3.2.1. 暗号化された LVM 一時ディスクの作成および使用

注記

Compute サービスは現在、LVM 形式の一時ディスクの暗号化のみをサポートしています。

Compute 設定ファイル(/var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf)は、ephemeral_storage_encryption セクション内のデフォルトパラメーター です。

  • cipher = aes-xts-plain64 - このフィールドは、一時ストレージの暗号化に使用する暗号およびモードを設定します。AES-XTS はディスクストレージ専用の NIST で推奨されます。名前は、XTS 暗号化モードを使用する AES 暗号化の場合は省略されています。利用可能な暗号は、カーネルのサポートによって異なります。コマンドラインで cryptsetup ベンチマーク を入力して、利用可能なオプションを判断(およびベンチマーク結果を参照)、または /proc/crypto に移動します。
  • enabled = false - 一時ディスクの暗号化を使用するには、option: enabled = trueを設定します。
  • key_size = 512 - バックエンドキーマネージャーから鍵のサイズ制限があり、key _size = 256 を使うことができる場合があり、これは 128 ビットの AES キーサイズのみを提供することに注意してください。XTS には、AES で必要な暗号鍵に加えて独自の「調整キー」が必要です。通常、これは単一の大きなキーで表されます。この場合、512 ビット設定を使用すると、256 ビットが XTS によって AES ビットおよび 256 ビットによって使用されます(NIST を参照)。