10.3.2. 一時ディスクの暗号化
一時ディスクの暗号化機能は、データのプライバシーに対応します。一時ディスクは、仮想ホストのオペレーティングシステムで使用されている一時的なワークスペースです。暗号化しないと、機密ユーザー情報がこのディスクからアクセスできます。また、重大な情報は、ディスクのマウント解除後もそのまま残ります。以下の一時ディスクの暗号化機能がサポートされます。
10.3.2.1. 暗号化された LVM 一時ディスクの作成と使用方法
注記
現在、Compute サービスでは、LVM 形式の一時ディスクの暗号化しかサポートされません。
Compute 設定ファイル(/var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf
)には、ephemeral_storage_encryption
セクション内に以下のデフォルトパラメーターがあります。
-
cipher = aes-xts-plain64
: このフィールドは、一時ストレージの暗号化に使用する暗号およびモードを設定します。AES-XTS はディスクストレージ専用の NIST で推奨されます。名前は、XTS 暗号化モードを使用した AES 暗号化の短縮形です。利用可能な暗号は、カーネルのサポートにより異なります。コマンドラインでcryptsetup benchmark
と入力して、利用可能なオプションを確認します(ベンチマーク結果を参照)、または /proc/crypto に移動します。 -
enabled = false
- 一時ディスクの暗号化を使用するには、設定オプションenabled = true
を設定します。 -
key_size = 512
- バックエンドキーマネージャーのキーサイズの制限があり、key_size = 256
の使用が必要になる可能性があることに注意してください。これは、AES 鍵のサイズである 128 ビットのみを提供することに注意してください。XTS には、暗号化キー AES で必要な独自の「tweak key」が必要です。通常、これは単一の大きなキーとして表現されます。この場合、512 ビット設定を使用すると、256 ビット設定が AES、256 ビット、XTS により 256 ビットが使用されます(NIST を参照)。