次の方法で共有


Azure Backup でのトランスポート層セキュリティ

トランスポート層セキュリティ (TLS) は、ネットワーク経由で転送される際のデータのセキュリティを維持する暗号化プロトコルです。 Azure Backup は、トランスポート層セキュリティを使用して、転送されるバックアップ データのプライバシーを保護します。 この記事では、TLS 1.2 プロトコルを有効にする手順について説明します。これにより、以前のバージョンよりセキュリティが強化されます。

以前のバージョンの Windows

お使いのコンピューターが以前のバージョンの Windows で実行されている場合は、下に示されている対応する更新プログラムをインストールし、サポート技術情報の記事に記載されているレジストリ変更を適用する必要があります。

オペレーティング システム KB article
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2、Windows 7、Windows Server 2012 https://support.microsoft.com/help/3140245

Note

更新プログラムによって、必要なプロトコル コンポーネントがインストールされます。 インストール後、上のサポート技術情報の記事に記載されているレジストリ キーの変更を行って、必要なプロトコルを適切に有効にする必要があります。

Windows レジストリの確認

SChannel プロトコルの構成

次のレジストリ キーを使用して、TLS 1.2 プロトコルが SChannel コンポーネント レベルで 有効になるようにします。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Note

ここに示す値は、Windows Server 2012 R2 以降のバージョンでは既定で設定されています。 これらのバージョンの Windows では、レジストリ キーが存在しない場合、作成する必要はありません。

.NET Framework の構成

次のレジストリ キーを使用して、強力な暗号化をサポートするように .NET Framework を構成します。 .NET Framework の構成の詳細については、こちらを参照してください。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Azure TLS 証明書の変更

Azure TLS/SSL エンドポイントには、新しいルート CA までつながっている更新後の証明書が含まれるようになりました。 後続の変更に更新後のルート CA が含まれるようにします。 アプリケーションに与える可能性のある影響について詳しくは、こちらをご覧ください。

以前、Azure サービスで使用されている TLS 証明書のほとんどは、次のルート CA までつながりました。

CA の共通名 サムプリント (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

これで、Azure サービスによって使用される TLS 証明書は、次のいずれかのルート CA までつながります。

CA の共通名 サムプリント (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

よく寄せられる質問

なぜ TLS 1.2 を有効にするのですか?

TLS 1.2 は、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1 などの以前の暗号化プロトコルより安全性が向上しています。 Azure Backup サービスでは既に、TLS 1.2 が完全にサポートされています。

使用される暗号化プロトコルは何によって決まりますか?

暗号化された会話を確立するために、クライアントとサーバーの両方でサポートされている最上位のプロトコル バージョンがネゴシエートされます。 TLS ハンドシェイク プロトコルの詳細については、「TLS を使用してセキュリティで保護されたセッションを確立する」を参照してください。

TLS 1.2 を有効にしないと、どのような影響がありますか?

プロトコル ダウングレード攻撃に対するセキュリティを強化するため、Azure Backup では 1.2 より前のバージョンの TLS を段階的に無効化し始めています。 これは、レガシ プロトコルと暗号スイートの接続を許可しないようにする、サービス全体での長期的な移行の一環です。 Azure Backup のサービスとコンポーネントでは、TLS 1.2 が完全にサポートされています。 ただし、必要な更新プログラムのない Windows バージョンや特定のカスタマイズされた構成では、TLS 1.2 プロトコルを提供できない場合があります。 この場合、次のうち 1 つ以上の障害が発生する可能性がありますが、これらに限定されるものではありません。

  • バックアップと復元の操作が失敗する場合があります。
  • バックアップ コンポーネントの接続がエラー10054 (既存の接続がリモート ホストによって強制的に切断された) によって失敗します。
  • Azure Backup に関連するサービスが、通常どおりに停止または開始されません。

その他のリソース