Jaa


SQL 透過的データ暗号化の Bring Your Own Key サポートのプレビュー

執筆者: Rebecca Zhang (Program Manager, Azure SQL Database)

このポストは、8 月 28 日に投稿された Preview: SQL Transparent Data Encryption (TDE) with Bring Your Own Key support の翻訳です。

 

Azure SQL Database および Azure SQL Data Warehouse で、透過的データ暗号化 (TDE) 機能の Bring Your Own Key (BYOK) サポートのプレビューが開始されます。これにより、Azure Key Vault にマスター キーを格納して、保存データを TDE で暗号化する際に使用するキーを制御できるようになります。

このサポートにより、TDE Protector の透過性と制御性が向上し、ハードウェア セキュリティ モジュール (HSM) を基盤とする外部サービスのセキュリティが強化されると共に、権限分散レベルも向上します。

TDE では、データベースやデータ ウェアハウスのディストリビューションに格納されたデータベース暗号化キー (DEK) と呼ばれる対称キーを使用してデータを暗号化します。この DEK を保護するには、以前は Azure SQL サービスで管理された証明書が必要でした。しかし、BYOK のサポートにより、Key Vault に格納されている非対称キーで DEK を保護できるようになります。Key Vault は高可用性でスケーラブルなクラウド ベースのキー ストアです。集約的なキー管理が可能で、FIPS 140-2 レベル 2 の検証を受けた HSM を使用し、キーとデータを分けて管理することでセキュリティが強化されています。

BYOK がサポートされた TDE は Azure SQL Database と SQL Data Warehouse の全機能に対応しており、Azure ポータルPowerShell (英語)REST API (英語) から Key Vault に格納されているキーを有効化し TDE で使用することができます。

Azure ポータルのエクスペリエンスは、従来どおりのシンプルなものとなっています。次に、3 つの一般的なシナリオについて説明します。

TDE を有効化する

データベースまたはデータ ウェアハウスでは、従来どおりの操作で簡単に TDE を有効化することができます。

Public Preview of Transparent Data Encryption (TDE) with Bring Your Own Key (BYOK) support

TDE Protector を設定する

自身が所有するキーを、サーバー上のデータベースやデータ ウェアハウスの TDE Protector として使用することができます。コンテナーから既存のキーを選択するか、Key Vault で新たにキーを作成します。

Public Preview of Transparent Data Encryption (TDE) with Bring Your Own Key (BYOK) support

キーをローテーションする

Key Vault で現在のキーに新しいバージョンを追加すると、TDE Protector をローテーションすることができます。また、いつでも TDE Protector を Key Vault 内の他のキーに切り替えたり、従来のようなサービスが管理する証明書に戻したりできます。このような変更は Azure SQL サービスが自動的に検知します。TDE Protector のローテーションはオンラインで高速に処理されます。すべてのデータを再暗号化するのではなく、TDE Protector を使用するそれぞれのデータベースやデータ ウェアハウスのディストリビューションの DEK を再暗号化します。

Public Preview of Transparent Data Encryption (TDE) with Bring Your Own Key (BYOK) support

BYOK がサポートされることで、TDE の暗号化機能のメリットと Key Vault の外部キー管理サービスのメリットをさらに活用できるようになります。

Azure ポータルからアクセスするか、または PowerShell での使用方法 (英語) を確認して、この機能を今すぐご利用ください。ベスト プラクティスやその他の機能の詳細については、Channel 9 のビデオ (英語) を視聴していただくか、「透過的データ暗号化で Bring Your Own Key をサポート (英語)」のドキュメントを参照してください。

TDE の BYOK サポートに関するご意見は、SQL Database および SQL Data Warehouse のフォーラム (英語) までお気軽にお寄せください。