LoginSignup
1
1

More than 3 years have passed since last update.

@fukaryu

Azure SQL DatabaseでAlways Encryptedを使って暗号化してみた

Last updated at Posted at 2020-06-26

きっかけ

先日AZ-500(Azure Security Technologies)の研修を受講してきました。
研修ではAzureのセキュリティついて様々なサービスや機能を一通り知ることができましたが、データベース周りの部分は私自身実践経験がなく、研修でも演習の時間が十分になかったため今回の検証対象として取り上げてみました。

Always Encryptedとは

SQLデータベースを暗号化する機能。 ※SQL Server 2016 導入
SQLクライアント側にて暗号化/復号化を実施。
※暗号化すると、SSMSからは参照しかできなくなる。

暗号化範囲:列(カラム)単位
暗号化テクノロジー:AES256(CEK) , RSA(CMK)
暗号化キーの管理:ユーザー (Azure Key Vault)
※暗号化対象となるSQLと同一リージョンであること

●サポート対象
Azure SQL Database、SQL Server(2016以降)

●仕組み
image.png

[暗号化]
[SSMS(SQL Server Management Studio)]は[CMK]を作成し[UserID]を使い[KeyVault]に格納。[CMK]より[CEK]を生成し暗号化を実施。[CEK]はDBに格納。

[復号化]
・[SSMS]は[UserID]を使い[KeyVault]から[CMK]、[CEK]を取得し復号化する。
・[SQL Client]は[AzureAD App]を使い[KeyVault]から[CMK]、[CEK]を取得し復号化する。

●今回の検証内容
今回は、Always Encryptedを使ってAzure SQL Databaseのデータを暗号化する。マスターキー(CMK)はAzure Key Vaultに格納する。という部分を以下の手順で検証して確認しました。
※Azure SQL Databaseの論理サーバーとデータベースの作成、ファイアウォール規則の構成等の手順は基本的に省略します。

検証手順

Azure SQL Databaseの作成

今回の検証ではサンプルデータを使用。
image.png

Azure Key Vaultコンテナーの作成

作成画面で現在ログインしているユーザーの"キーのアクセス許可"で赤枠の部分を追加で選択する。
image.png

Always Encryptedの構成と暗号化の確認

SSMSでSQLサーバーに接続する。
※SQLサーバーに接続するクライアントのIPをSQLサーバーのファイアウォール規則に追加する必要あり。
image.png

暗号化前の状態を確認。
今回は赤枠の[PasswordHash] 列を暗号化していく。
image.png

暗号化したいデータベースのテーブルを右クリック→[列の暗号化] を選択。
⇒ Always Encrypted ウィザードが開始。
image.png
image.png
テーブル内の暗号化する列を選択。
[PasswordHash] 列にチェックをつけて、暗号化の種類を [決定論的] に設定。
※暗号化方式には決定論的とランダム化の2種類ある。
image.png
マスターキーの構成画面で [キーストア プロバイダーを選択] を [Azure Key Vault] に設定し、[サインイン] をクリック。
Azure ポータルでログインしたアカウント、パスワードでサインイン。
image.png
マスターキーの構成画面で [Azure Key Vault を選択] を前手順で作成したキーコンテナーに設定し、 [次へ] をクリック。
image.png
image.png
実行設定画面で [続行して今すぐ実行] が選択されていることを確認し、[次へ] をクリック。
image.png
image.png

赤枠の[PasswordHash] 列が暗号化されている。
image.png

復号化して表示する

Optionsをクリック。
image.png
[データベース エンジンへの接続] で [追加の接続パラメーター] タブを選択して 「Column Encryption Setting=enabled」 と入力。
image.png
[PasswordHash] 列が復号化した状態で表示される。
image.png

(参考)鍵の格納場所を確認

マスターキー[CMK_Auto1]、暗号化キー[CEK_Auto1]が作成されている。
image.png
暗号化キー[CEK_Auto1]はデータベース内に保管
image.png
マスターキー[CMK_Auto1]はAzure Key Vaultに格納
image.png

最後に

Always Encryptedを使用する最大のメリットは"通信経路も含めて常に暗号化した状態でデータを操作できること"です。
Azure SQL Databaseで作成されるユーザーデータベースは既定で透過的データ暗号化(TDE)が構成され暗号化されますが、クライアントアプリケーションからデータを読み込むとき、バックグラウンドプロセスで復号化されるため、アプリケーションが読むデータは平文となります。
そこでAlways Encryptedを使用すると、暗号化/復号化をクライアント側で実施するのでアプリケーションが読むデータも暗号化された状態を保つことができます。(=通信経路上も暗号化されたまま)

今回の検証はあくまでAlways Encryptedの暗号化機能を確認するだけの簡易的なものでしたが、実際のシステムではアプリケーションからデータベースの暗号化したデータにアクセスし、復号化するといった構成が求められるはずです。
その際はアプリに対して暗号化キーの保管場所であるKeyVaultへのアクセス権限を付与したり、アプリからデータベースへの接続方法などを検討する必要があります

また、データベースのセキュリティについてはデータの暗号化だけでなく認証/アクセス制御といった部分も重要になってきます。
前述の透過的なデータ暗号化(TDE)や行レベルのセキュリティなどAlways Encrypted以外のデータ保護方法を検討する必要もあります。
システム要件を満たすには、これら様々な要素を組み合わせていくことが求められると思いますので、今後の検証ではアプリとの連携部分などもやっていきたいです。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1