クラウド暗号化.

クラウド暗号化は、保存時(オブジェクトストレージ、ブロックボリューム、データベース、バックアップ)、伝送時(クライアント↔サービス間およびクラウド内コンポーネント間の TLS)、そしてますます利用時(コンフィデンシャルコンピューティング)という三つの状態すべてで機密性を守ります。多くのクラウドはサービス管理鍵によるデフォルト暗号化を提供しますが、成熟した組織はクラウド KMS や外部 HSM 上のカスタマーマネージドキー (CMK) を採用し、ローテーションや失効、アクセスログを自前で制御します。データセンターからの媒体盗難、スナップショット漏えい、侵害後の横方向の移動、鍵がクラウド外にある場合に有効な強制開示拒否などのリスクに対処できます。KMS、エンベロープ暗号化、鍵ローテーション、最小権限の利用ポリシーを組み合わせるのが定石です。