Storage Service Encryption with Customer Managed Keys の一般提供を開始
執筆者: Lavanya Kasarabada (Senior Program Manager, Azure Storage)
このポストは、2018 年 3 月 7 日に投稿された Announcing Storage Service Encryption with customer managed keys general availability の翻訳です。
このたび、Azure Blob Storage および File Storage の Azure Key Vault と統合された Azure Storage Service Encryption with Customer Managed Keys の一般提供を開始しました。マイクロソフトが管理するキーを使用した Azure Blob Storage および Azure File Storage 用の Storage Service Encryption は既に提供されています。
Storage Service Encryption with Customer Managed Keys では Azure Key Vault が使用されるため、FIPS 140-2 レベル 2 準拠のハードウェア セキュリティ モジュール (HSM) が支える可用性と拡張性に優れた安全なストレージに RSA 暗号化キーを保存できます。Azure Key Vault によってキーの管理プロセスが効率化されるため、データの暗号化に使用するキーの管理、運用、使用の監査を十全に行えます。
この機能については、法令遵守や HIPAA および BAA への準拠の一環として機密データを保護する必要のある企業のお客様から、特に多くのご要望が寄せられていました。
この機能では、お客様が RSA キーを生成して Azure Key Vault にインポートし、Storage Service Encryption で使用することができます。Azure Storage ではエンベロープ手法による暗号化が使用され、完全に透過的に暗号化と復号化の処理が実行されます。データは AES 256 ベースのキーを使用して暗号化され、Azure Key Vault に保存されているユーザーが管理するキーを使用して保護されます。
お客様は自社のコンプライアンス ポリシーに従い Azure Key Vault のキーのローテーションを行うことができます。キーのローテーションを行うと Azure Storage がキーの新しいバージョンを 5 分以内に検出し、そのストレージ アカウントのアカウント暗号化キーを再暗号化します。これですべてのデータが再暗号化されるわけではなく、またユーザーはこれ以上の操作を行う必要はありません。
Azure Key Vault のキーへのアクセス権を取り消すと、ストレージ アカウントへのアクセス権を取り消すことができます。キーへのアクセス権を取り消す方法は複数あります。詳細については、Azure Key Vault の PowerShell コマンドレット (英語) や Azure Key Vault の CLI コマンド (英語) のドキュメントをご確認ください。アクセス権を取り消すと Azure Storage がアカウント暗号化キーにアクセスできなくなるため、ストレージ アカウント内のすべての BLOB へのアクセスが阻止されます。
ユーザーが管理するキーでは、必ず "Do Not Purge" および "Soft Delete" を有効化してランサムウェアから保護する必要があります。
この機能は、Premium Storage をはじめとする Azure Blob Storage および File Storage のあらゆる種類の冗長ストレージで有効化でき、マイクロソフトが管理するキーをお客様が管理するキーに切り替えることができます。この機能を有効化しても追加コストはかかりません。
Storage Service Encryption with Customer Managed Keys は、Azure Portal、Azure PowerShell (英語)、Azure CLI、または Microsoft Azure Storage Resource Provider API (英語) を使用して、どの Azure Resource Manager ストレージ アカウントでも有効化できます。
詳細については、Storage Service Encryption with Customer Managed Keys のドキュメントを参照してください。