次の方法で共有


Azure Backup での暗号化

Azure Backup では、バックアップ データをクラウドに保存する際に、Azure Storage 暗号化を使用してすべてのデータが自動的に暗号化されます。このため、セキュリティとコンプライアンスの要件を満たすことができます。 この保存データは、利用可能な最強のブロック暗号の 1 つで、FIPS 140-2 に準拠している 256 ビット AES 暗号化を使って暗号化されます。 また、転送中のすべてのバックアップ データが HTTPS 経由で転送されます。 これは、Azure バックボーン ネットワークにとどまります。

この記事では、バックアップされたデータを保護するのに役立つ、Azure Backup の暗号化レベルについて説明します。

暗号化レベル

Azure Backup には、次の 2 つのレベルの暗号化が含まれています。

暗号化レベル 説明
Recovery Services コンテナーでのデータの暗号化 - プラットフォーム マネージド キーの使用: 既定では、すべてのデータが、プラットフォーム マネージド キーを使用して暗号化されます。 この暗号化を有効にするためにユーザーが明示的なアクションを実行する必要はありません。 これは、Recovery Services コンテナーにバックアップ中のすべてのワークロードに適用されます。

- カスタマー マネージド キーの使用: Azure Virtual Machines をバックアップするときに、自分が所有および管理している暗号化キーを使用してデータを暗号化することを選択できます。 Azure Backup を使用すると、自分のバックアップの暗号化に、Azure Key Vault に格納されているご自身の RSA キーを使用でききます。 バックアップの暗号化に使用される暗号化キーは、ソースに使用されているものと異なることがあります。 データは、AES 256 ベースのデータ暗号化キー (DEK) を使用して保護され、このキーは、ご自身のキーを使用して保護されます。 これにより、データとキーを完全に制御できます。 暗号化を許可するには、Azure Key Vault の暗号化キーに Recovery Services コンテナーへのアクセス権を付与する必要があります。 キーの無効化とアクセスの取り消しは、必要に応じていつでも可能です。 ただし、コンテナーに対する項目の保護を試みるには、事前にキーを使って暗号化を有効にしておく必要があります。 こちらを参照してください。

- インフラストラクチャ レベルの暗号化: カスタマー マネージド キーを使用して Recovery Services コンテナー内のデータを暗号化するだけでなく、ストレージ インフラストラクチャで追加の暗号化レイヤーを構成することもできます。 このインフラストラクチャ暗号化は、プラットフォームによって管理されます。 これにより、カスタマー マネージド キーを使用した保存時の暗号化と共に、バックアップ データの 2 層の暗号化が可能になります。 インフラストラクチャ暗号化は、最初に、保存時の暗号化に独自のキーを使用することを選択した場合にのみ構成できます。 インフラストラクチャの暗号化では、データの暗号化にプラットフォーム マネージド キーを使用します。
バックアップされるワークロードに固有の暗号化 - Azure 仮想マシンのバックアップ: Azure Backup では、プラットフォーム マネージド キーだけでなく、自分が所有および管理しているカスタマー マネージド キーを使用して暗号化されたディスクでの VM のバックアップがサポートされます。 さらに、その OS またはデータ ディスクが Azure Disk Encryption を使用して暗号化されている Azure 仮想マシンをバックアップすることもできます。 ADE は、Windows VM では BitLocker、Linux VM では DM-Crypt を使用してゲスト内暗号化を実行します。

- TDE - 有効なデータベース バックアップがサポートされています。 TDE で暗号化されたデータベースを別の SQL Server に復元するには、まず証明書を宛先サーバーに復元する必要があります。 SQL Server 2016 以降のバージョンでは、TDE が有効になっているデータベースのバックアップの圧縮は使用できますが、ここで説明されているように転送サイズは低くなります。

次のステップ