NutanixではCVMがデータをDISKに書き込む時、
MBサイズに分割して書き込みしてくれます。
ただし、このブロックサイズの中身が必ずしも
読めないという訳ではありません。
その為、DISK交換等による情報漏洩を防ぐ為、
一般的に次の2つの選択肢があります。
1.DISK返却不要のオプションを付けて、
保守時に交換したDISKを手元に残せるようにする
(そして適切な破棄を行う)
2.DISKの暗号化を行う
1はわかりやすい対策ですが、
結局はそのDISKの取り扱いを誤ったら同じことなので、
根本対策とは言えないのがホンネです。
しっかりとした仕組みで対策するなら、
2のDISK暗号化が現実的な選択肢となります。
現時点ではソフトウェア的に暗号化機能が実装されていないので、
DISKレベルの暗号化製品を調達し、
合わせて外部の暗号鍵管理製品を導入する、
というのが具体的な手法となります。
特に、現在非常にHOTなキーワードである、
PCI DSSでは定期的な鍵管理の必要性が
要件として組み込まれている為、
今後も引き続き、鍵管理製品を活用することになるでしょう。
では鍵管理製品は何を使うかですが、
筆者の知る中では、日本国内では、
SafenetのKeySecureがNutanixとの組み合わせでの
本番実装の実績があります。
Safenet製品は従来からPCI DSS準拠の為の
セキュリティ製品として実装の実績が多く、
製品としては信頼できるものであり、
またNutanixとの連携も認証がとれている点も◎。
暗号化をやる時は、この組み合わせにすれば
安心ですので、やってみてください。
今回は以上です。
