二重暗号化とは、2 つ以上の独立した暗号化レイヤーを有効にして、いずれかの暗号化レイヤーの侵害から保護することです。 2 つの暗号化レイヤーを使用すると、データの暗号化に伴う脅威が軽減されます。 例えば次が挙げられます。
- データ暗号化の構成エラー
- 暗号化アルゴリズムの実装エラー
- 1 つの暗号化キーの侵害
Azure では、保存データと転送中のデータに対して二重暗号化が提供されます。
静止データ
保存データの暗号化を 2 層で実現するための Microsoft のアプローチは次のとおりです。
- カスタマー マネージド キーを使用した保存時の暗号化。 保存時のデータ暗号化のために、独自のキーを提供します。 自分のキーを Key Vault に持ち込むか (BYOK – Bring Your Own Key)、Azure Key Vault で新しいキーを生成して目的のリソースを暗号化することができます。
- プラットフォーム管理キーを使用したインフラストラクチャの暗号化。 デフォルトでは、データはプラットフォーム管理の暗号化キーを使用して保存時に自動的に暗号化されます。
転送中のデータ
転送中のデータに対して 2 つの暗号化レイヤーを有効にするための Microsoft のアプローチは次のとおりです。
- Transport Layer Security(TLS)1.2を使用したトランジット暗号化により、クラウドサービスとユーザー間を移動するデータを保護します。 データセンターから送信されるすべてのトラフィックは、トラフィックの宛先が同じリージョン内の別のドメイン コントローラーである場合でも、転送中に暗号化されます。 TLS 1.2 は、使用されるデフォルトのセキュリティプロトコルです。 TLS には、強力な認証、メッセージの機密性、整合性 (メッセージの改ざん、傍受、偽造の検出が有効)、相互運用性、アルゴリズムの柔軟性、デプロイと使用のしやすさといったメリットがあります。
- インフラストラクチャレイヤーで提供される暗号化の追加レイヤー。 Azure のお客様のトラフィックがデータセンター間を移動するたびに (Microsoft または Microsoft の代理によって制御されない物理的な境界の外側)、 IEEE 802.1AE MAC セキュリティ標準 (MACsec とも呼ばれます) を使用したデータリンク層の暗号化方法が、基になるネットワーク ハードウェア全体でポイント ツー ポイントに適用されます。 パケットは、送信前にデバイス上で暗号化および復号化されるため、物理的な「中間者」攻撃やスヌーピング/盗聴攻撃を防ぐことができます。 このテクノロジはネットワーク ハードウェア自体に統合されているため、測定可能なリンクの待機時間を増やすことなく、ネットワーク ハードウェア上でライン レート暗号化を提供します。 この MACsec 暗号化は、リージョン内またはリージョン間を移動するすべての Azure トラフィックに対して、既定でオンになります。お客様側で必要な操作はありません。
次のステップ
Azure での暗号化の使用方法について説明します。