21. 21
よくある質問
• 既存アプリで Key Vault を使用できるか?
• NO. アプリケーションは Key Vault を前提に設計されていないとならない.
• ただし、証明書を使用するだけならば Yes.
• マイクロソフトは Key を参照できるのか?
• NO
• マイクロソフトは政府にキーを渡すことがあるか?
Microsoft VP of LCA Brad Smith
http://blogs.microsoft.com/on-the-issues/2013/07/16/responding-to-government-
legal-demands-for-customer-data/
If we receive a government demand for data held by a business customer, we take
steps to redirect the government to the customer directly, and we notify the customer
unless we are legally prohibited from doing so.
24. 24
Azure Disk Encryption
Windows Server Linux
BitLocker 外部保護キー DM-Crypt
Windows OS Windows Data Linux OS Linux Data
Basic VM × × × ×
Standard VM 〇 〇 〇 〇
暗号化方式 BitLocker BitLocker DM-Crypt DM-Crypt
暗号化 〇 〇 〇 〇
非暗号化 〇 〇 × 〇
Premium storage 既に暗号化されたストレージの設定を更新することはできない
Managed storage 〇 〇 〇 〇
Backup/restore KEK 必須 KEK 必須 KEK 必須 KEK 必須
Striping/Storage Space 〇 〇 〇 〇
Classic VM × × × ×
以下のファイルシステムは未サポート
Azure Files (shared file system), Network File System (NFS), dynamic volumes, ソフトウェアRAIDで構成された Windows VM
※GPの「TPM保護」を
有効化しないこと
26. 26
Supported OS
Windows Server 2008 R2(.NET Framework 4.5)
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows 8
Windows 10
Ubuntu 16.04-DAILY-LTS OS and Data disk
Ubuntu 14.04.5-DAILY-LTS OS and Data disk
Ubuntu 12.10 Data disk
Ubuntu 12.04 Data disk
RHEL 7.3 OS and Data disk
RHEL 7.2 OS and Data disk
RHEL 6.8 OS and Data disk
RHEL 6.7 Data disk
CentOS 7.3 OS and Data disk
CentOS 7.2n OS and Data disk
CentOS 6.8 OS and Data disk
CentOS 7.1 Data disk
CentOS 7.0 Data disk
CentOS 6.7 Data disk
CentOS 6.6 Data disk
CentOS 6.5 Data disk
openSUSE 13.2 Data disk
SLES 12 SP1 Data disk
SLES 12-SP1 (Premium) Data disk
SLES HPC 12 Data disk
SLES 11-SP4 (Premium) Data disk
SLES 11 SP4 Data disk
Key Vault と VM は同じリージョン/サブ
スクリプションである必要がある
31. 31
“正しいアプリケーション”であることの証明
Azure Disk
Encryption Service
• ARM template
• PowerShell
• CLI
userdevice
application
Service Principal
Application id
Application secret
New-MsolServicePrincipalCredential
-AppPrincipalId <Application Id>
-Type password
-Value <Application secret>
Application(Client) Secret を使用する場合
Token
connect-msolservice
Application id
Role: Key Wrap
Role: Secret Set
32. 32
“正しいアプリケーション”であることの証明
Azure Disk
Encryption Service
• ARM template
• PowerShell
• CLI
user device application
Service Principal
Application id
Application secret
New-MsolServicePrincipalCredential
-AppPrincipalId <Application Id>
-Type asymmetric
-Value <CertRawData_base64>
証明書を使用する(Windowsでサポート)