Azure SQL Database でユーザー管理キーによる透過的なデータ暗号化の一般提供を開始
執筆者: Alice Kupcik (Senior Program Manager, Azure SQL Database Security)
このポストは、2018 年 4 月 17 日に投稿された Transparent Data Encryption with customer managed keys in Azure SQL Database generally available の翻訳です。
このたび、Azure SQL Database および Azure SQL Data Warehouse で、透過的なデータ暗号化 (TDE) 機能の Bring Your Own Key (BYOK) サポートの一般提供を開始しました。この機能は、機密データの保護を重視する多くの企業のお客様からご要望が寄せられていたもので、これによって個別のキー管理機能を実装し、規制上およびコンプライアンス上の要件を満たすことができます。TDE の BYOK サポートは、新規の Azure SQL Databases で既定で有効化されている TDE のサービス管理キーに追加で提供されます。
TDE の BYOK サポートでは Azure Key Vault を使用します。Azure Key Vault は、FIPS 140-2 レベル 2 で検証済みのハードウェア セキュリティ モジュール (HSM) で保護された RSA 暗号化キーに、可用性と拡張性に優れた安全なストレージを提供するものです。キー管理プロセスが効率化された Key Vault によって、ユーザーは暗号化キーを完全に制御下に置いてキーへのアクセスを管理、監査することができます。
ユーザーは独自の RSA キーを生成して Azure Key Vault にインポートし、BYOK がサポートされた Azure SQL Database および Azure SQL Data Warehouse の TDE で使用できます。Azure SQL Database では、データベース内に格納されたデータ、ログ ファイル、バックアップの暗号化と暗号化解除が完全に透過的に処理されます。この処理に使用されるのが、データベース暗号化キー (DEK) と呼ばれる対称キーです。この DEK が、Azure Key Vault に格納された TDE プロテクターと呼ばれるユーザー管理キーで保護されます。
ユーザーは Azure Key Vault 内の TDE プロテクターをローテーションして、特定のセキュリティ要件や業界固有のコンプライアンス義務に対応できます。TDE プロテクターをローテーションすると、Azure SQL Database で数分ほどで新しいバージョンのキーが検出され、データベース内のデータ暗号化に使用される DEK が再暗号化されます。この処理で実際のデータが再暗号化されることはなく、ユーザーがこれ以上の操作を行う必要はありません。
暗号化されているデータベースへのアクセス権を取り消すには、Azure Key Vault に格納されている、そのデータベースの TDE プロテクターへのアクセス権を取り消します。Azure Key Vault 内のキーへのアクセス権を取り消す方法はいくつかあります。詳しくは PowerShell の Azure Key Vault 用コマンドレット (英語) や CLI の Azure Key Vault 用コマンドレット (英語) を参照してください。Azure Key Vault 内のアクセス権を取り消すと、Azure SQL Database から TDE プロテクターにアクセスできなくなり、すべてのデータベースへのアクセスを効果的にブロックできます。
Azure SQL Database で BYOK の TDE を利用する場合、Azure Key Vault 側でキーの保護機能である「Do Not Purge」と「Soft Delete」を有効化する必要があります。これは、誤削除やランサムウェアから TDE プロテクターを保護するためです。
TDE の BYOK サポートは、論理 SQL Server ごとに有効化でき、Premium レベルを含むすべての利用可能なサービス レベルのデータベースに利用できます。また、サービスが管理する TDE を使用している状態から、ユーザー管理キーの使用に切り替えることもできます。この機能を有効化しても、追加コストはかかりません。
Azure Portal にアクセスするか、REST API のコマンド (英語) や PowerShell および CLI の使用ガイド (英語) をご覧のうえ、今すぐご利用ください。この機能のベスト プラクティスや構成のチェックリストについては、TDE の BYOK サポートに関するドキュメント (英語) をご覧ください。