Azure Key Vault Managed HSM を使用した SQL TDE のリージョン間の回復性

Azure SQL Managed Instance

Azure Key Vault

ソリューションのアイデア

この記事ではソリューションのアイデアについて説明します。 クラウド アーキテクトはこのガイダンスを使用すると、このアーキテクチャの一般的な実装の主要コンポーネントを視覚化しやすくなります。 ワークロードの特定の要件に適合する、適切に設計されたソリューションを設計するための出発点として、この記事を使用してください。

このソリューションでは、Azure SQL Managed Instance のセキュリティで保護された回復性のあるデプロイ パターンについて説明します。 Azure Key Vault Managed HSM を使用して、カスタマー マネージド Transparent Data Encryption (TDE) 保護機能キーを格納する方法について説明します。

アーキテクチャ

この図には、プライマリ リージョンとセカンダリ リージョンの 2 つの主要なセクションが含まれています。 プライマリ リージョンには、SQL Managed Instance、可用性ゾーン、およびネットワーク セキュリティ グループ (NSG) を持つサブネットを含むサブセクションがあります。 プライマリ リージョンには、NSG を含むサブネット、Managed HSM プライマリ リージョンのプライベート エンドポイント、別のプライベート エンドポイント、ロード バランサー、および Managed HSM プールを含む別のサブセクションがあります。 各サブセクションには、仮想ネットワークとリソース グループがあります。 mHSM のプライベート DNS ゾーンもプライマリ リージョンにあります。 セカンダリ リージョンは、プライマリ リージョンのリソースをレプリケートします。 管理プレーンにラベルが付いた矢印は、外部グローバル リソース セクションの SQL Managed Instance から Traffic Manger を指します。 リージョン間データ レプリケーションのラベルが付いた矢印は、プライマリ リージョンの SQL Managed Instance サブセクションからセカンダリ リージョン内の同じサブセクションを指します。 リージョン間レプリケーションというラベルが付いた矢印は、プライマリ リージョンの Managed HSM プール サブセクションから、セカンダリ リージョン内の同じサブセクションを指します。 各リージョンでは、データ プレーンというラベルが付いた矢印が、SQL Managed Instance からプライベート エンドポイント、および Traffic Manager を指しています。 各リージョンでは、管理プレーンというラベルが付いた矢印が SQL Managed Instance から Traffic Manager を指しています。 各リージョンでは、Traffic Manager から Managed HSM プールへの矢印がポイントされます。これは、Traffic Manager が最も近い mHSM にリダイレクトすることを示します。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

次のワークフローは、上記のダイアグラムに対応しています。

1. SQL Managed Instance は、ディザスター リカバリーのためにデータをレプリケートするために、セカンダリ非ペアリージョンの可用性グループで構成されます。

2. Managed HSM は、リージョン間プールを使用して構成されます。 このプールは、セカンダリ非ペアリージョンのコンテナーにキー マテリアルとアクセス許可を自動的にレプリケートします。

3. SQL Managed Instance からのデータ プレーン トラフィックは、Managed HSM のプライベート エンドポイントを経由します。

4. Managed HSM では、Azure Traffic Manager を使用して、最も近い運用コンテナーにトラフィックをルーティングします。

5. マネージド インスタンスは、キーに対するアクセス許可を確認する必要がある場合、Azure バックボーン ネットワーク経由で管理プレーン要求を送信します。

コンポーネント

• SQL Managed Instance は、最新の SQL Server Enterprise Edition データベース エンジンとほぼ完全に互換性のあるサービスとしてのプラットフォーム (PaaS) オファリングです。 これは、セキュリティを向上させ、既存の SQL Server のお客様に有益なビジネス モデルを提供するネイティブ仮想ネットワークの実装を提供します。 SQL Managed Instance を使用すると、アプリケーションとデータベースに最小限の変更を加えて、オンプレミスのアプリケーションをクラウドに移行できます。

  SQL Managed Instance には、自動修正プログラムの適用とバージョンの更新、自動バックアップ、高可用性など、包括的な PaaS 機能も用意されています。 これらの機能により、管理オーバーヘッドと総保有コストが大幅に削減されます。 このアーキテクチャでは、SQL Managed Instance は TDE 保護機能キーを使用するデータベースです。

• Managed HSM は、高可用性、シングルテナント、業界標準への準拠を提供するフル マネージド クラウド サービスです。 Managed HSM は、クラウド アプリケーションの暗号化キーを保護するように設計されています。 Federal Information Processing Standard 140-2 Level 3 検証済み HSM を使用します。 Managed HSM は、Azure のいくつかの主要な管理ソリューションの 1 つです。 このアーキテクチャでは、Managed HSM は TDE 保護機能キーを安全に格納し、リージョン間の回復性を提供します。

• Azure プライベート エンドポイントは、Azure Storage、Azure SQL Database、Azure Key Vault などの PaaS サービスをプライベート IP アドレス経由で仮想ネットワークに安全に接続するネットワーク インターフェイスとして機能します。 この機能により、パブリック インターネットの公開が不要になります。これにより、Azure バックボーン ネットワーク内でトラフィックを保持することでセキュリティが強化されます。 また、お客様の仮想ネットワークを使用して保護を強化します。 このアーキテクチャでは、Azure プライベート エンドポイントにより、サービス間のトラフィックがプライベート仮想ネットワークを経由するようにします。

• Azure プライベート DNS では、プライベート エンドポイントのシームレスな名前解決が提供されます。これにより、仮想ネットワーク内のリソースが Azure サービスにプライベートにアクセスできるようになります。 パブリック IP アドレスの代わりに完全修飾ドメイン名を使用できるため、セキュリティとアクセシビリティが向上します。 プライベート エンドポイントが作成されると、対応するドメイン ネーム システム (DNS) レコードがリンクされたプライベート DNS ゾーンに自動的に登録されます。 プライベート DNS ゾーンを使用すると、サービスへのトラフィックが Azure バックボーン ネットワーク内に残ります。 このアプローチでは、パブリック インターネットへの露出を回避することで、セキュリティ、パフォーマンス、コンプライアンスが向上します。 リージョンサービスの停止が発生した場合、Azure プライベート DNS はマネージド HSM に対してネイティブのリージョン間の名前解決の回復性を提供します。 このアーキテクチャでは、サービスは Azure プライベート DNS を使用して、プライベート ネットワーク アドレスを介して相互に通信します。

シナリオの詳細

このソリューションでは、お客様は、ミッション クリティカルなシステムの厳密なサービス レベル アグリーメントしきい値を満たし、一覧に記載されているサービスの完全な機能を確保することを目的としています。 この目標を達成するために、顧客が管理する TDE 保護機能キーを持つ SQL Managed Instance を使用します。 キーは、選択したリージョンをサポートし、すべてのコンプライアンスとセキュリティ要件を満たすコンテナーに格納されます。 保護を強化するために、プライベート エンドポイント アクセスも適用されます。

考えられるユース ケース

• 顧客は、ペアまたはペアになっていない 2 つのリージョンを使用します。 プライマリ SQL Managed Instance は 1 つのリージョンに配置され、フェールオーバー グループはセカンダリ リージョンの SQL Managed Instance に接続するように構成されます。

• 顧客は、セカンダリ リージョンにリージョン間レプリカがあるプライマリ リージョンの Managed HSM インスタンスを使用します。 リージョン間レプリカが有効になると、Traffic Manager インスタンスが作成されます。 Traffic Manager インスタンスは、両方のコンテナーが操作可能な場合はローカル コンテナーへのトラフィックのルーティングを処理し、1 つのコンテナーが使用できない場合は操作可能なコンテナーへのトラフィックのルーティングを処理します。

• 顧客は、2 つのカスタム DNS ゾーンを使用して、各リージョンの Managed HSM インスタンスのプライベート エンドポイントをサポートします。

• ユーザー データベースの顧客対応 TDE は、カスタマー マネージド キー モデルを使用し、Managed HSM に保護機能キーを格納します。

• お客様はこの設計を使用して、可能な限り最大限の回復性を提供します。

貢献者達

Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。

主要な著者:

• Laura Grob |プリンシパル クラウド ソリューション アーキテクト
• アルメンカレシアン |プリンシパル クラウド ソリューション アーキテクト
• Michael Piskorski |シニア クラウド ソリューション アーキテクト

公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。

次のステップ

• 規制対象業界向けの Managed HSM に関する包括的なガイド
• Managed HSM のローカル ロールベースのアクセス制御組み込みロール
• Managed HSM でマルチリージョン レプリケーションを有効にする
• プライベート エンドポイントを使用して Managed HSM を構成する
• Managed HSM の復旧の概要
• Managed HSM の主権、可用性、パフォーマンス、スケーラビリティ
• Managed HSM をセキュリティで保護するためのベスト プラクティス
• Key Vault のセキュリティ概要
• Key Vault キーについて
• HSM で保護されたキーの生成と転送
• Key Vault の可用性と冗長性

ソリューションのアイデア

この記事ではソリューションのアイデアについて説明します。 クラウド アーキテクトはこのガイダンスを使用すると、このアーキテクチャの一般的な実装の主要コンポーネントを視覚化しやすくなります。 ワークロードの特定の要件に適合する、適切に設計されたソリューションを設計するための出発点として、この記事を使用してください。

このソリューションでは、Azure SQL Managed Instance のセキュリティで保護された回復性のあるデプロイ パターンについて説明します。 Azure Key Vault Managed HSM を使用して、カスタマー マネージド Transparent Data Encryption (TDE) 保護機能キーを格納する方法について説明します。

アーキテクチャ

この図には、プライマリ リージョンとセカンダリ リージョンの 2 つの主要なセクションが含まれています。 プライマリ リージョンには、SQL Managed Instance、可用性ゾーン、およびネットワーク セキュリティ グループ (NSG) を持つサブネットを含むサブセクションがあります。 プライマリ リージョンには、NSG を含むサブネット、Managed HSM プライマリ リージョンのプライベート エンドポイント、別のプライベート エンドポイント、ロード バランサー、および Managed HSM プールを含む別のサブセクションがあります。 各サブセクションには、仮想ネットワークとリソース グループがあります。 mHSM のプライベート DNS ゾーンもプライマリ リージョンにあります。 セカンダリ リージョンは、プライマリ リージョンのリソースをレプリケートします。 管理プレーンにラベルが付いた矢印は、外部グローバル リソース セクションの SQL Managed Instance から Traffic Manger を指します。 リージョン間データ レプリケーションのラベルが付いた矢印は、プライマリ リージョンの SQL Managed Instance サブセクションからセカンダリ リージョン内の同じサブセクションを指します。 リージョン間レプリケーションというラベルが付いた矢印は、プライマリ リージョンの Managed HSM プール サブセクションから、セカンダリ リージョン内の同じサブセクションを指します。 各リージョンでは、データ プレーンというラベルが付いた矢印が、SQL Managed Instance からプライベート エンドポイント、および Traffic Manager を指しています。 各リージョンでは、管理プレーンというラベルが付いた矢印が SQL Managed Instance から Traffic Manager を指しています。 各リージョンでは、Traffic Manager から Managed HSM プールへの矢印がポイントされます。これは、Traffic Manager が最も近い mHSM にリダイレクトすることを示します。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

次のワークフローは、上記のダイアグラムに対応しています。

1. SQL Managed Instance は、ディザスター リカバリーのためにデータをレプリケートするために、セカンダリ非ペアリージョンの可用性グループで構成されます。

2. Managed HSM は、リージョン間プールを使用して構成されます。 このプールは、セカンダリ非ペアリージョンのコンテナーにキー マテリアルとアクセス許可を自動的にレプリケートします。

3. SQL Managed Instance からのデータ プレーン トラフィックは、Managed HSM のプライベート エンドポイントを経由します。

4. Managed HSM では、Azure Traffic Manager を使用して、最も近い運用コンテナーにトラフィックをルーティングします。

5. マネージド インスタンスは、キーに対するアクセス許可を確認する必要がある場合、Azure バックボーン ネットワーク経由で管理プレーン要求を送信します。

コンポーネント

• SQL Managed Instance は、最新の SQL Server Enterprise Edition データベース エンジンとほぼ完全に互換性のあるサービスとしてのプラットフォーム (PaaS) オファリングです。 これは、セキュリティを向上させ、既存の SQL Server のお客様に有益なビジネス モデルを提供するネイティブ仮想ネットワークの実装を提供します。 SQL Managed Instance を使用すると、アプリケーションとデータベースに最小限の変更を加えて、オンプレミスのアプリケーションをクラウドに移行できます。

  SQL Managed Instance には、自動修正プログラムの適用とバージョンの更新、自動バックアップ、高可用性など、包括的な PaaS 機能も用意されています。 これらの機能により、管理オーバーヘッドと総保有コストが大幅に削減されます。 このアーキテクチャでは、SQL Managed Instance は TDE 保護機能キーを使用するデータベースです。

• Managed HSM は、高可用性、シングルテナント、業界標準への準拠を提供するフル マネージド クラウド サービスです。 Managed HSM は、クラウド アプリケーションの暗号化キーを保護するように設計されています。 Federal Information Processing Standard 140-2 Level 3 検証済み HSM を使用します。 Managed HSM は、Azure のいくつかの主要な管理ソリューションの 1 つです。 このアーキテクチャでは、Managed HSM は TDE 保護機能キーを安全に格納し、リージョン間の回復性を提供します。

• Azure プライベート エンドポイントは、Azure Storage、Azure SQL Database、Azure Key Vault などの PaaS サービスをプライベート IP アドレス経由で仮想ネットワークに安全に接続するネットワーク インターフェイスとして機能します。 この機能により、パブリック インターネットの公開が不要になります。これにより、Azure バックボーン ネットワーク内でトラフィックを保持することでセキュリティが強化されます。 また、お客様の仮想ネットワークを使用して保護を強化します。 このアーキテクチャでは、Azure プライベート エンドポイントにより、サービス間のトラフィックがプライベート仮想ネットワークを経由するようにします。

• Azure プライベート DNS では、プライベート エンドポイントのシームレスな名前解決が提供されます。これにより、仮想ネットワーク内のリソースが Azure サービスにプライベートにアクセスできるようになります。 パブリック IP アドレスの代わりに完全修飾ドメイン名を使用できるため、セキュリティとアクセシビリティが向上します。 プライベート エンドポイントが作成されると、対応するドメイン ネーム システム (DNS) レコードがリンクされたプライベート DNS ゾーンに自動的に登録されます。 プライベート DNS ゾーンを使用すると、サービスへのトラフィックが Azure バックボーン ネットワーク内に残ります。 このアプローチでは、パブリック インターネットへの露出を回避することで、セキュリティ、パフォーマンス、コンプライアンスが向上します。 リージョンサービスの停止が発生した場合、Azure プライベート DNS はマネージド HSM に対してネイティブのリージョン間の名前解決の回復性を提供します。 このアーキテクチャでは、サービスは Azure プライベート DNS を使用して、プライベート ネットワーク アドレスを介して相互に通信します。

シナリオの詳細

このソリューションでは、お客様は、ミッション クリティカルなシステムの厳密なサービス レベル アグリーメントしきい値を満たし、一覧に記載されているサービスの完全な機能を確保することを目的としています。 この目標を達成するために、顧客が管理する TDE 保護機能キーを持つ SQL Managed Instance を使用します。 キーは、選択したリージョンをサポートし、すべてのコンプライアンスとセキュリティ要件を満たすコンテナーに格納されます。 保護を強化するために、プライベート エンドポイント アクセスも適用されます。

考えられるユース ケース

• 顧客は、ペアまたはペアになっていない 2 つのリージョンを使用します。 プライマリ SQL Managed Instance は 1 つのリージョンに配置され、フェールオーバー グループはセカンダリ リージョンの SQL Managed Instance に接続するように構成されます。

• 顧客は、セカンダリ リージョンにリージョン間レプリカがあるプライマリ リージョンの Managed HSM インスタンスを使用します。 リージョン間レプリカが有効になると、Traffic Manager インスタンスが作成されます。 Traffic Manager インスタンスは、両方のコンテナーが操作可能な場合はローカル コンテナーへのトラフィックのルーティングを処理し、1 つのコンテナーが使用できない場合は操作可能なコンテナーへのトラフィックのルーティングを処理します。

• 顧客は、2 つのカスタム DNS ゾーンを使用して、各リージョンの Managed HSM インスタンスのプライベート エンドポイントをサポートします。

• ユーザー データベースの顧客対応 TDE は、カスタマー マネージド キー モデルを使用し、Managed HSM に保護機能キーを格納します。

• お客様はこの設計を使用して、可能な限り最大限の回復性を提供します。

貢献者達

Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。

主要な著者:

• Laura Grob |プリンシパル クラウド ソリューション アーキテクト
• アルメンカレシアン |プリンシパル クラウド ソリューション アーキテクト
• Michael Piskorski |シニア クラウド ソリューション アーキテクト

公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。

次のステップ

• 規制対象業界向けの Managed HSM に関する包括的なガイド
• Managed HSM のローカル ロールベースのアクセス制御組み込みロール
• Managed HSM でマルチリージョン レプリケーションを有効にする
• プライベート エンドポイントを使用して Managed HSM を構成する
• Managed HSM の復旧の概要
• Managed HSM の主権、可用性、パフォーマンス、スケーラビリティ
• Managed HSM をセキュリティで保護するためのベスト プラクティス
• Key Vault のセキュリティ概要
• Key Vault キーについて
• HSM で保護されたキーの生成と転送
• Key Vault の可用性と冗長性