Azure Storage インフラストラクチャ レベルで二重暗号化を有効にする
Azure Storage では、使用可能なブロック暗号の中でも最強クラスの 1 つである 256 ビット AES 暗号化を使用して、サービス レベルでストレージ アカウントのすべてのデータが自動的に暗号化されています。また、FIPS 140-2 に準拠しています。 データのセキュリティ保護についてより高いレベルの保証が必要なお客様は、二重暗号化のために、Azure Storage インフラストラクチャ レベルで 256 ビットの AES 暗号化を有効にすることもできます。 Azure Storage データの二重暗号化を使用すると、暗号化アルゴリズムまたはキーのいずれかが侵害される可能性があるシナリオから保護されます。 このシナリオでは、追加の暗号化レイヤーによって引き続きデータが保護されます。
インフラストラクチャ暗号化は、ストレージ アカウント全体、またはアカウント内の暗号化スコープに対して有効にできます。 ストレージ アカウントまたは暗号化スコープに対してインフラストラクチャ暗号化が有効になっている場合、データは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。
サービスレベルの暗号化は、Azure Key Vault または Key Vault Managed Hardware Security Model (HSM) での Microsoft マネージド キーまたはカスタマーマネージド キーの使用をサポートしています。 インフラストラクチャレベルの暗号化は Microsoft マネージド キーに依存し、常に別のキーが使用されます。
データを二重に暗号化するには、インフラストラクチャ暗号化用に構成されたストレージ アカウントまたは暗号化スコープを最初に作成する必要があります。
インフラストラクチャの暗号化は、コンプライアンス要件のためにデータを二重に暗号化する必要があるシナリオの場合にお勧めします。 他のほとんどのシナリオでは、Azure Storage 暗号化が十分に強力な暗号化アルゴリズムを提供するため、インフラストラクチャ暗号化を使用する利点はあまりないと考えられます。
インフラストラクチャ暗号化を有効にしてアカウントを作成する
ストレージ アカウントに対してインフラストラクチャ暗号化を有効にするには、アカウントの作成時にインフラストラクチャ暗号化を使用するようにストレージ アカウントを構成する必要があります。 アカウントの作成後にインフラストラクチャ暗号化を有効または無効にすることはできません。 ストレージ アカウントの種類は汎用 v2 または Premium ブロック BLOB にする必要があります。
Azure portal を使用してインフラストラクチャ暗号化が有効なストレージ アカウントを作成するには、これらの手順を実行します。
Azure portal で、[ストレージ アカウント] ページに移動します。
[追加] ボタンを選択して、新しい汎用 v2 または Premium ブロック BLOB ストレージ アカウントを追加します。
[暗号化] タブで、[インフラストラクチャ暗号化の有効化] を見つけて、[有効] を選びます。
[確認と作成] を選択し、ストレージ アカウントの作成を完了します。
Azure portal でストレージ アカウントのインフラストラクチャ暗号化が有効なことを確認するには、次の手順を実行します。
Azure Portal のストレージ アカウントに移動します。
[設定] で、 [暗号化] を選択します。
Azure Policy には、ストレージ アカウントに対してインフラストラクチャの暗号化を有効にすることを要求する組み込みポリシーが用意されています。
インフラストラクチャ暗号化を有効にして暗号化スコープを作成する
アカウントに対してインフラストラクチャ暗号化が有効になっている場合、そのアカウントで作成された暗号化スコープでは、インフラストラクチャ暗号化が自動的に使用されます。 アカウント レベルでインフラストラクチャ暗号化が有効になっていない場合、暗号化スコープ作成時にそのスコープに対してこれを有効にするオプションがあります。 暗号化スコープのインフラストラクチャ暗号化設定は、スコープの作成後に変更することはできません。