Azure Storage での保存データ暗号化の実装

Azure Storage での保存データ暗号化の実装

2025/03/01

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、システム エンジニアが Azure Storage に保存されているデータの暗号化を実装および構成できるようにガイドすることを目的としています。保存されたデータを保護することは、基本的なセキュリティ対策です。 Azure Storage は、既定で Microsoft マネージド キー (MMK) による強力な暗号化を提供し、より高度な制御のために Azure Key Vault を介してカスタマー マネージド キー (CMK) を使用できるようにします [1]。

はじめに

保存データを暗号化することで、保存されたデータが不正なアクセスから確実に保護されます。 Azure では、Azure Storage 内のすべてのデータがデフォルトで暗号化されます [2]。厳格なコンプライアンス要件を持つ組織にとって、暗号化キーのライフサイクル (作成、ローテーション、取り消し) を完全に制御できるため、CMK の使用は不可欠です。

このガイドでは、カスタマー マネージド キーの実装と検証に焦点を当てて、両方の暗号化モデルの構成について説明します。

保存データの暗号化が重要なのはなぜですか?

  • 不正アクセスに対する保護: 復号化キーがなければデータを読み取ることができないようにします。
  • 規制遵守: LGPD、GDPR、HIPAA などの規制への準拠を支援します。
  • キー制御: CMK を使用すると、組織は暗号化キーの完全な制御を維持できます。

前提条件

  1. アクティブな Azure サブスクリプション
  2. 管理アクセス: ストレージ アカウントとキー コンテナーを管理するためのアクセス許可。
  3. 既存の Azure ストレージ アカウント (StorageV2 を推奨)。
  4. Azure Key Vault CMK を保存します。

ステップバイステップ: 暗号化の構成

1. Microsoft 管理キーによる暗号化 (デフォルト)

これはデフォルトの自動設定です。確認するには:

  1. Azure portal で ストレージ アカウント に移動します。
  2. 「セキュリティ + ネットワーク」で、暗号化を選択します。
  3. デフォルトの「暗号化タイプ」が「Microsoft マネージド キー」であることを確認します。

2. カスタマー マネージド キー (CMK) を使用した暗号化の実装

2.1. Azure Key Vault とキーを作成します

  1. 新しい Azure Key Vault を作成します。重要: 作成中に パージ保護 を有効にしてください。
  2. Key Vault 内で、キー に移動し、生成/インポート をクリックして、新しいキー (例: storage-cmk-key) を作成します。

2.2.ストレージ アカウント アクセスの構成

  1. ストレージ アカウントに移動します。
  2. 暗号化 に移動し、「暗号化タイプ」を「顧客管理キー」に変更します。
  3. Key Vault のキーを使用するオプションを選択します。これを行うと、Azure により、ストレージ アカウントの マネージド ID を作成するように求められます。許可する。
  4. 次に、Key Vault に戻り、アクセス ポリシー に移動します。
  5. 新しいアクセス ポリシーを作成します。 「Get」、「Wrap Key」、および「Unwrap Key」キーのアクセス許可を付与します。
  6. 「セキュリティ プリンシパル」 ステップで、ストレージ アカウントのマネージド ID を検索して選択します。
  7. アクセス ポリシーを保存します。

2.3. CMK を使用するようにストレージ アカウントを構成する

  1. ストレージ アカウントの [暗号化] ページに戻ります。
  2. Key Vault と作成したキーを選択します。
  3. 変更を保存します。今後、アカウントに記録されるすべてのデータはキーで暗号化されます。

検証とテスト

1. データアクセスのテスト

CMK を構成した後、ファイルをアップロードおよびダウンロードします。操作は透過的である必要があります。

「」バッシュ

テストファイルをロードする

az storage blob Upload --account-name -c -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

テストファイルをダウンロードする

az storage blob download --account-name -c -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login 「」

2. キーアクセス取り消しのテスト

これは CMK にとって最も重要なテストです。

  1. Key Vault で、使用されているキーに移動します。
  2. 現在のキー バージョンをクリックし、有効 設定を いいえ に変更します。
  3. 数分間待ちます。
  4. ストレージ アカウント内のデータにアクセスしてみます (たとえば、BLOB を再度ダウンロードしてみてください)。
  5. 期待される結果: 操作はアクセス拒否エラー (403 Forb) で失敗するはずです。同上)、データ アクセスを完全に制御できることを証明します。
  6. アクセスを復元するには、キーを再度有効にすることを忘れないでください

キーのローテーション

キーのローテーションは重要なセキュリティ対策です。 CMK には 2 つのオプションがあります。

  • 手動ローテーション: Key Vault で新しいバージョンのキーを作成し、新しいバージョンを指すようにストレージ アカウントの暗号化構成を更新します。
  • AutoRotation: ストレージ アカウントで CMK を構成する場合は、キーのバージョンを指定しないでください。ストレージ アカウントは Key Vault を定期的にチェックし、最新バージョンのキーを自動的に使用します [3]。

ベストプラクティス

  • Key Vault でワイプ保護と論理的な削除を有効にして、偶発的または悪意のある削除からキーを保護します。
  • マネージド ID を使用して、ストレージ アカウントが Key Vault にアクセスできるようにします。他の方法を使用するよりも安全です。
  • Key Vault アクティビティを監視する: Key Vault 診断ログを使用して、誰がいつキーにアクセスしているかを監査します。
  • 安全な転送 (HTTPS) が必要: ストレージ アカウントを設定するときは、転送中のデータを暗号化するために常に安全な転送を必要とします。

結論

Azure Storage に保存されているデータの暗号化は、防御の基本層です。 Microsoft マネージド キーは、既定で手間をかけずにセキュリティを提供しますが、カスタマー マネージド キー (CMK) は、多くの組織が厳しいセキュリティとコンプライアンスの要件を満たすために必要なレベルの制御と保証を提供します。 CMK の実装と管理をマスターすることで、データが確実に保護され、管理下に置かれるようになります。

参考文献

[1] マイクロソフト。 (2023年)。 Azure Storage 暗号化の概要。 [2] マイクロソフト。 (2023年)。 保存データの Azure Storage Service 暗号化。 [3] マイクロソフト。 (2023年)。 Azure Storage 暗号化用の顧客管理キー