暗号化の機能
暗号化機能は、共有仮想マシンホスト上の悪意のあるゲストによる攻撃や、ホスト上のすべての仮想マシンを管理するハイパーバイザー制御ソフトウェアによる攻撃から、仮想マシンのコンテンツを保護します。
サポートされているクラウドサービスの詳細については、以下を参照してください。
- AWSの暗号化機能
- グーグル クラウド プラットフォームでの暗号化機能
- Microsoft Azure における暗号化に関する機能(/ja-jp/citrix-virtual-apps-desktops/2407/install-configure/security-policies/encryption-capabilities.html#encryption-capabilities-in-microsoft-azure)
AWSの暗号化機能
このセクションでは、AWS仮想化環境における暗号化機能について説明します。
自動暗号化
アカウントで作成された新しいAmazon EBSボリュームとスナップショットコピーの自動暗号化を有効にできます。詳しくは、自動暗号化を参照してください。
Google Cloud Platform における暗号化に関する機能
このセクションでは、Google Cloud Platform(GCP)仮想化環境における暗号化機能について説明します。
Google管理の暗号化キーで許可されているよりもキー操作を詳細に制御する必要がある場合は、顧客管理の暗号化キーを使用できます。顧客管理の暗号化キーを使用する場合、オブジェクトはバケットに保存されるときにCloud Storageによってキーで暗号化され、リクエスターに提供されるときにCloud Storageによって自動的に復号化されます。詳しくは、顧客管理の暗号化キーを参照してください。
MCSカタログに顧客管理の暗号化キー(CMEK)を使用できます。詳しくは、顧客管理の暗号化キー(CMEK)の使用を参照してください。
Microsoft Azure で利用可能な暗号化機能
このセクションでは、Azure仮想化環境における暗号化機能について説明します。
Azureサーバー側暗号化
ほとんどのAzureマネージドディスクは、Azure Storage暗号化によって暗号化されています。これは、サーバー側暗号化(SSE)を使用してデータを保護し、セキュリティおよびコンプライアンスのコミットメントを満たすのに役立ちます。Citrix Virtual Apps and Desktopsは、Azure Key Vaultを介してAzureマネージドディスクの顧客管理暗号化キーをサポートしています。詳細については、「Azureサーバー側暗号化」を参照してください。
ホストでのAzureディスク暗号化
ホストでの暗号化機能を持つMCSマシンカタログを作成できます。
この暗号化方法は、Azureストレージを介してデータを暗号化しません。VMをホストするサーバーがデータを暗号化し、その後、暗号化されたデータがAzureストレージサーバーを介して流れます。したがって、この暗号化方法はデータをエンドツーエンドで暗号化します。
ホストでの暗号化機能を持つMCSマシンカタログの作成の詳細については、「ホストでのAzureディスク暗号化」を参照してください。
Azure二重暗号化
二重暗号化は、プラットフォーム側暗号化(デフォルト)と顧客管理暗号化(CMEK)です。したがって、暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念する高セキュリティに敏感な顧客である場合は、この二重暗号化を選択できます。永続OSディスクとデータディスク、スナップショット、およびイメージはすべて、二重暗号化によって保存時に暗号化されます。詳細については、「マネージドディスクの二重暗号化」を参照してください。
Azure 機密仮想マシン
Azure機密コンピューティングVMは、仮想デスクトップがメモリ内で暗号化され、使用中に保護されることを保証します。
MCSを使用して、Azure機密VMを含むカタログを作成できます。このようなカタログを作成するには、マシンプロファイルのワークフローを使用する必要があります。VMとARMテンプレート仕様の両方をマシンプロファイルの入力として使用できます。
詳細については、「Azure機密VM」を参照してください。