10.3.2. 一時ディスクの暗号化

一時ディスクの暗号化機能は、データのプライバシーに対応します。一時ディスクは、仮想ホストのオペレーティングシステムで使用されている一時的なワークスペースです。暗号化しないと、機密ユーザー情報がこのディスクからアクセスできます。また、重大な情報は、ディスクのマウント解除後もそのまま残ります。以下の一時ディスクの暗号化機能がサポートされます。

10.3.2.1. 暗号化された LVM 一時ディスクの作成と使用方法

注記

現在、Compute サービスでは、LVM 形式の一時ディスクの暗号化しかサポートされません。

Compute 設定ファイル(/var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf)には、ephemeral_storage_encryption セクション内に以下のデフォルトパラメーターがあります。

  • cipher = aes-xts-plain64: このフィールドは、一時ストレージの暗号化に使用する暗号およびモードを設定します。AES-XTS はディスクストレージ専用の NIST で推奨されます。名前は、XTS 暗号化モードを使用した AES 暗号化の短縮形です。利用可能な暗号は、カーネルのサポートにより異なります。コマンドラインで cryptsetup benchmark と入力して、利用可能なオプションを確認します(ベンチマーク結果を参照)、または /proc/crypto に移動します。
  • enabled = false - 一時ディスクの暗号化を使用するには、設定オプション enabled = trueを設定します。
  • key_size = 512 - バックエンドキーマネージャーのキーサイズの制限があり、key_size = 256 の使用が必要になる可能性があることに注意してください。これは、AES 鍵のサイズである 128 ビットのみを提供することに注意してください。XTS には、暗号化キー AES で必要な独自の「tweak key」が必要です。通常、これは単一の大きなキーとして表現されます。この場合、512 ビット設定を使用すると、256 ビット設定が AES、256 ビット、XTS により 256 ビットが使用されます(NIST を参照)。