Azure Backup の暗号化について

  • Article

いつも弊社製品をご利用いただきまして誠にありがとうございます。
Windows プラットフォーム サポートの宮澤です。

今回は、Azure Backup で使用されている暗号化方式、証明書などについてご案内いたします。

Azure Backup のサーバー登録について
-----------------------------------------

2015 年 6 月現在ダウンロード可能な Azure Backup エージェントでは、MAKECERT コマンド等で作成した自己署名証明書を使用してたバックアップ対象サーバーの登録に対応しておりません。
このため、Azure Backup にてサーバーの登録 (サーバーをバックアップ コンテナーに登録) を実行する場合には、"コンテナー資格情報ファイル" をダウンロードし、サーバー登録を実行します。

- 手順

1. 管理ポータルへサインインします。

2. [RECOVERY SERVICES] から対象のバックアップ コンテナーを選択します。

3. [ダッシュボード] から "コンテナー資格情報のダウンロード" を押下します。

4. "コンテナー資格情報ファイル" をダウンロードします。

5. Azure Backup の "サーバーの登録" ウィザード [資格情報コンテナーの識別] にて参照ボタンよりダウンロードした "コンテナー資格情報ファイル" (.VaultCredentials) を選択します。

※ 注意 1) 複数回ダウンロードを実施した場合、最新の "コンテナー資格情報ファイル" のみ有効です。
※ 注意 2) 有効期限を過ぎている場合や最新ではない "コンテナー資格情報ファイル" を指定した場合にはエラー メッセージが表示されます。

- 参考資料

Windows Server のバックアップをすばやく簡単に行うための Azure Backup の構成
https://azure.microsoft.com/ja-jp/documentation/articles/backup-configure-vault/

コンテナーの証明書の管理 -コンテナーの証明書の要件
https://msdn.microsoft.com/ja-jp/library/dn169036.aspx

Azure Backup の暗号化について
-----------------------------------------
Azure Backup エージェントで自己証明書をご使用の場合、サーバーをバックアップ コンテナーに登録するために x.509 v3 証明書を使用する必要がありましたが、現在は変更され、Azure ポータルで生成された資格情報を使用して、コンピューターをバックアップ コンテナーに登録するようになりました。
なお、Azure Backup エージェントの旧バージョンをインストールしてのご使用の場合は、引き続きバックアップ コンテナー上の [証明書の管理] より自己署名証明書をアップロードし使用いただくことが可能です。
ただし、現在は自己署名証明書を使用可能な Azure Backup エージェントの提供は行っていない為、最新版の Azure Backup をインストールし、"コンテナー資格情報ファイル" をダウンロードいただいた上でのご使用を推奨いたします。 

2015 年 6 月現在、コンテナー資格情報の証明書は SHA-1 (SHA128) を使用しています。
※サムプリント アルゴリズムについては SHA-1 のみですが、署名アルゴリズムについては、SHA-256 も対応しております。

Azureへの接続の際に使用される SSL/TLS についての暗号化方式、Cipher Suites の優先度については、ご使用のサーバーもしくは接続するクライアントよりご確認ください。

 

==========

確認方法

==========

 

1. コマンド プロンプトで、gpedit.mscと入力し、[OK] をクリックし、ローカル グループ ポリシー エディターを起動します。

 

2. [コンピューターの構成] を展開し、[管理用テンプレート] を展開し、[ネットワーク] を展開および [SSL 構成の設定] をクリックします。

 

3. [設定] ウィンドウで、[SSL 暗号の順位] を右クリックし、[編集] から設定内容を確認ください。

 

 ※ 状況 "未構成" となっている場合でもリストの上位から使用可能な暗号化が適用されます。

 

 

その他、Azure Backup では データを暗号化する際にパス フレーズを指定します。

パスフレーズは、ユーザーが指定するか、[パスフレーズの生成] をクリックして生成することができます。

このパス フレーズを紛失すると、データの復元や復旧がまったくできなくなります。

パス フレーズ設定の際は、紛失しないよう外部に保管することをお勧めいたします。

 

パス フレーズは Azure Backup インストール時に設定を行います。

設定後に変更する場合は、Azure Backup のプロパティ - [暗号化] タブより指定可能です。

 

 

 

Azure Backupにて [データの回復] から [別のサーバー] を選択して回復を実行した場合、設定したパスフレーズを求められます。

 

 

 

- 参考資料

コンテナーの証明書の管理 -コンテナーの証明書の要件

https://msdn.microsoft.com/ja-jp/library/dn169036.aspx

 

サービスと証明書の関連付け

https://msdn.microsoft.com/ja-jp/library/gg465718.aspx

 

Cipher Suites in Schannel

https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx

 

Azure Backup の利用を始める

https://blogs.msdn.com/b/windowsazurej/archive/2014/10/01/blog-getting-started-with-azure-backup.aspx