Azure Backup でのトランスポート層セキュリティ
トランスポート層セキュリティ (TLS) は、ネットワーク経由で転送される際のデータのセキュリティを維持する暗号化プロトコルです。 Azure Backup は、トランスポート層セキュリティを使用して、転送されるバックアップ データのプライバシーを保護します。 この記事では、TLS 1.2 プロトコルを有効にする手順について説明します。これにより、以前のバージョンよりセキュリティが強化されます。
以前のバージョンの Windows
お使いのコンピューターが以前のバージョンの Windows で実行されている場合は、下に示されている対応する更新プログラムをインストールし、サポート技術情報の記事に記載されているレジストリ変更を適用する必要があります。
| オペレーティング システム | KB article |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2、Windows 7、Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Note
更新プログラムによって、必要なプロトコル コンポーネントがインストールされます。 インストール後、上のサポート技術情報の記事に記載されているレジストリ キーの変更を行って、必要なプロトコルを適切に有効にする必要があります。
Windows レジストリの確認
SChannel プロトコルの構成
次のレジストリ キーを使用して、TLS 1.2 プロトコルが SChannel コンポーネント レベルで 有効になるようにします。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Note
ここに示す値は、Windows Server 2012 R2 以降のバージョンでは既定で設定されています。 これらのバージョンの Windows では、レジストリ キーが存在しない場合、作成する必要はありません。
.NET Framework の構成
次のレジストリ キーを使用して、強力な暗号化をサポートするように .NET Framework を構成します。 .NET Framework の構成の詳細については、こちらを参照してください。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS 証明書の変更
Azure TLS/SSL エンドポイントには、新しいルート CA までつながっている更新後の証明書が含まれるようになりました。 後続の変更に更新後のルート CA が含まれるようにします。 アプリケーションに与える可能性のある影響について詳しくは、こちらをご覧ください。
以前、Azure サービスで使用されている TLS 証明書のほとんどは、次のルート CA までつながりました。
| CA の共通名 | サムプリント (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
これで、Azure サービスによって使用される TLS 証明書は、次のいずれかのルート CA までつながります。
| CA の共通名 | サムプリント (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
よく寄せられる質問
なぜ TLS 1.2 を有効にするのですか?
TLS 1.2 は、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1 などの以前の暗号化プロトコルより安全性が向上しています。 Azure Backup サービスでは既に、TLS 1.2 が完全にサポートされています。
使用される暗号化プロトコルは何によって決まりますか?
暗号化された会話を確立するために、クライアントとサーバーの両方でサポートされている最上位のプロトコル バージョンがネゴシエートされます。 TLS ハンドシェイク プロトコルの詳細については、「TLS を使用してセキュリティで保護されたセッションを確立する」を参照してください。
TLS 1.2 を有効にしないと、どのような影響がありますか?
プロトコル ダウングレード攻撃に対するセキュリティを強化するため、Azure Backup では 1.2 より前のバージョンの TLS を段階的に無効化し始めています。 これは、レガシ プロトコルと暗号スイートの接続を許可しないようにする、サービス全体での長期的な移行の一環です。 Azure Backup のサービスとコンポーネントでは、TLS 1.2 が完全にサポートされています。 ただし、必要な更新プログラムのない Windows バージョンや特定のカスタマイズされた構成では、TLS 1.2 プロトコルを提供できない場合があります。 この場合、次のうち 1 つ以上の障害が発生する可能性がありますが、これらに限定されるものではありません。
- バックアップと復元の操作が失敗する場合があります。
- バックアップ コンポーネントの接続がエラー10054 (既存の接続がリモート ホストによって強制的に切断された) によって失敗します。
- Azure Backup に関連するサービスが、通常どおりに停止または開始されません。