SlideShare a Scribd company logo

Azure Cosmos DB Always Encrypted

Yui Ashikaga, profile picture
Yui Ashikaga

2021/6/24 雑談会議2021Azure関連臨時LT大会

Technology
1 of 18
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Azure Cosmos DB Always Encrypted 雑談会議2021Azure関連臨時LT大会
自己紹介 足利 惟 @yuiashikaga • 所属 • 株式会社 pnop • コミュニティ • Japan Azure User Group • devblogラジオ • アワード • Microsoft MVP for Microsoft Azure (2016-)
Always Encrypted って? • 秘匿情報(クレカ番号など)の保護機能 • クライアントサイドで暗号化/複合化される • サーバー側でもデータ保存時に暗号化を実施してるよ • 暗号化/複合化の制御は Key Vault で管理してるキーで行う • アクセスポリシーで制御可能 • Build 2021 でプレビュー発表 • たぶん SQL Database の Always Encrypted と考え方一緒
はじめかた • まずはプレビュー申請を行う • https://ncv.microsoft.com/poTcF52I6N
はじめかた • Azure Key Vault をセットアップ • Keyを作成 • Azure ADにアプリケーション登録 & シークレット作成 • Azure PaaSからのアクセスなら Managed IDでよい • Key Vault アクセスポリシー追加 • プリンシパルの選択では上記で登録したアプリを選択
Azure Cosmos DB Always Encrypted
暗号化キーについて • データ暗号化キー (DEK) • データを暗号化するのに必要 • Azure Cosmos DB サービスに保存 • データベース単位で定義 ⇒ 複数のコンテナー間で共有可能 • Azure Cosmos DB SDK を使用してクライアントサイドで作成 • カスタマーマネージドキー (CMK) • DEK は、Cosmos DB に保存する際にこのキーでラップ • CMK では、DEK のラップとラップ解除を行うことにより、対応する DEK で暗号化したデータへのアクセスを効果的に制御 • CMK の管理は Azure Key Vault で行う
Azure Cosmos DB Always Encrypted
はじめかた • データ暗号化キー(DEK)を作成する
Azure Cosmos DB Always Encrypted
はじめかた • 暗号化ポリシーを使用してコンテナーを作成する
Azure Cosmos DB Always Encrypted
暗号化の種類 • 決定論的暗号化 (Deterministic) • 同一の値は同じ暗号化値 • 暗号化された情報を推論されやすい • 暗号化される種類が少ない場合は不向き(True/Falseとか) • クエリのフィルターに対応 • ランダム暗号化 (Randomized) • 同一の値でも違う暗号化値 • 安全性は高いが、クエリでフィルターかけられない
データの格納 & 読み込み
結果
データの読み込み(通常)
注意点 • パフォーマンス • データの暗号化・複合化を行うためRUが多めに消費される • 読み取り:5%増加 • 書き込み:6%増加 • 運用 • CMKのローテーションなどを考慮する必要がある
まとめ • 通信経路も含めて常に暗号化した状態でデータのやり取りが行 える Always Encrypted を活用して、秘匿性の高いデータを安 全に扱おう

More Related Content

What's hot (20)

PDF
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
PPTX
Open Source Security Tools for Big Data
Rommel Garcia
 
PDF
簡単!AWRをEXCELピボットグラフで分析しよう♪
Yohei Azekatsu
 
PDF
NGINX Back to Basic 2 Part 2 (Japanese Webinar)
NGINX, Inc.
 
PDF
OSSを活用したIaCの実現
Trainocate Japan, Ltd.
 
PPTX
[BurpSuiteJapan]HTTP基礎入門
Burp Suite Japan User Group
 
PDF
Amazon GameLift FlexMatch
Amazon Web Services Japan
 
PPTX
Amazon EKS への道 ~ EKS 再入門 ~
Hideaki Aoyagi
 
PDF
Microsoft Azure Storage 概要
Takeshi Fukuhara
 
PDF
Dockerを利用したローカル環境から本番環境までの構築設計
Koichi Nagaoka
 
PPTX
Ironic - Vietnam OpenStack Technical Meetup #12
Vietnam Open Infrastructure User Group
 
PPTX
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
 
PDF
XSS再入門
Hiroshi Tokumaru
 
PPTX
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Azure AD による Web API の 保護
junichi anno
 
PDF
Migration to Oracle Multitenant
Jitendra Singh
 
PDF
[Pgday.Seoul 2017] 2. PostgreSQL을 위한 리눅스 커널 최적화 - 김상욱
PgDay.Seoul
 
PDF
Elastic Stack 을 이용한 게임 서비스 통합 로깅 플랫폼 - elastic{on} 2019 Seoul
SeungYong Oh
 
PDF
db tech showcase 2019 SQL Database Hyperscale 徹底分析 - 最新アーキテクチャの特徴を理解する
Masayuki Ozawa
 
PDF
継続使用と新規追加したRedmine Plugin
Mei Nakamura
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
Open Source Security Tools for Big Data
Rommel Garcia
 
簡単!AWRをEXCELピボットグラフで分析しよう♪
Yohei Azekatsu
 
NGINX Back to Basic 2 Part 2 (Japanese Webinar)
NGINX, Inc.
 
OSSを活用したIaCの実現
Trainocate Japan, Ltd.
 
[BurpSuiteJapan]HTTP基礎入門
Burp Suite Japan User Group
 
Amazon GameLift FlexMatch
Amazon Web Services Japan
 
Amazon EKS への道 ~ EKS 再入門 ~
Hideaki Aoyagi
 
Microsoft Azure Storage 概要
Takeshi Fukuhara
 
Dockerを利用したローカル環境から本番環境までの構築設計
Koichi Nagaoka
 
Ironic - Vietnam OpenStack Technical Meetup #12
Vietnam Open Infrastructure User Group
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
 
XSS再入門
Hiroshi Tokumaru
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
 
Azure AD による Web API の 保護
junichi anno
 
Migration to Oracle Multitenant
Jitendra Singh
 
[Pgday.Seoul 2017] 2. PostgreSQL을 위한 리눅스 커널 최적화 - 김상욱
PgDay.Seoul
 
Elastic Stack 을 이용한 게임 서비스 통합 로깅 플랫폼 - elastic{on} 2019 Seoul
SeungYong Oh
 
db tech showcase 2019 SQL Database Hyperscale 徹底分析 - 最新アーキテクチャの特徴を理解する
Masayuki Ozawa
 
継続使用と新規追加したRedmine Plugin
Mei Nakamura
 

Similar to Azure Cosmos DB Always Encrypted (20)

PPTX
Azure SecOps! Azure Key Vaultを用いたクラウドのキー管理
Yuki Hattori
 
PDF
msal.jsを使う
DevTakas
 
PPTX
Sql azure入門
貴仁 大和屋
 
PDF
Azure Cosmos DB Emulator on Docker を GitHub Codespaces で動かす!
Kazumi OHIRA
 
PDF
LINE LIFF with Azure ハンズオン資料 - Azure サービス解説
Kazumi OHIRA
 
PDF
【de:code 2020】 Azure インフラ 最新アップデート!!
日本マイクロソフト株式会社
 
PDF
Updates of Azure NoSQL announced at Microsoft Ignite Spring 2021
Oshitari_kochi
 
PDF
Microsoft Build 2022をさらに楽しむためのおすすめセッション/サンプル コード Powered by Microsoft MVPs
Rie Moriguchi
 
PDF
【de:code 2020】 Azure インフラ 最新アップデート!!
日本マイクロソフト株式会社
 
PDF
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
日本マイクロソフト株式会社
 
PPTX
2011/12/3 わんくま同盟
貴仁 大和屋
 
PPTX
2011/11/26 Dot netlab
貴仁 大和屋
 
PDF
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベント
Shingo Kawahara
 
PDF
kubernetes on Azure 最新情報
Takayoshi Tanaka
 
PDF
はじめての Azure 開発
Yoshitaka Seo
 
PDF
クラウド時代における分散Webシステムの構成とスケーリング #seccamp
Masahiro NAKAYAMA
 
PDF
クラウドことはじめ
Keiji Kamebuchi
 
PDF
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
 
PDF
オープンソーステクノロジー対応の App Service と Azure Database Servicesを活用した Webシステムデザイン
Daisuke Masubuchi
 
PDF
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Containe...
Kazumi OHIRA
 
Azure SecOps! Azure Key Vaultを用いたクラウドのキー管理
Yuki Hattori
 
msal.jsを使う
DevTakas
 
Sql azure入門
貴仁 大和屋
 
Azure Cosmos DB Emulator on Docker を GitHub Codespaces で動かす!
Kazumi OHIRA
 
LINE LIFF with Azure ハンズオン資料 - Azure サービス解説
Kazumi OHIRA
 
【de:code 2020】 Azure インフラ 最新アップデート!!
日本マイクロソフト株式会社
 
Updates of Azure NoSQL announced at Microsoft Ignite Spring 2021
Oshitari_kochi
 
Microsoft Build 2022をさらに楽しむためのおすすめセッション/サンプル コード Powered by Microsoft MVPs
Rie Moriguchi
 
【de:code 2020】 Azure インフラ 最新アップデート!!
日本マイクロソフト株式会社
 
【de:code 2020】 GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ
日本マイクロソフト株式会社
 
2011/12/3 わんくま同盟
貴仁 大和屋
 
2011/11/26 Dot netlab
貴仁 大和屋
 
Azure Blob Storageへの様々なアクセス方法を比べてみた JAZUG12周年イベント
Shingo Kawahara
 
kubernetes on Azure 最新情報
Takayoshi Tanaka
 
はじめての Azure 開発
Yoshitaka Seo
 
クラウド時代における分散Webシステムの構成とスケーリング #seccamp
Masahiro NAKAYAMA
 
クラウドことはじめ
Keiji Kamebuchi
 
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
 
オープンソーステクノロジー対応の App Service と Azure Database Servicesを活用した Webシステムデザイン
Daisuke Masubuchi
 
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Containe...
Kazumi OHIRA
 
Ad

More from Yui Ashikaga (16)

PDF
俺的 Ignite 2021 Fall Update まとめ
Yui Ashikaga
 
PDF
俺的 Build 2021 Update まとめ
Yui Ashikaga
 
PDF
俺的 Ignite 2021 Spring Update まとめ ミニ
Yui Ashikaga
 
PDF
Azure Rock Star Community Day #2 - JAZUG
Yui Ashikaga
 
PDF
俺的 Build 2020 Update まとめ
Yui Ashikaga
 
PDF
Azure Fundamental
Yui Ashikaga
 
PDF
俺的 Ignite Update まとめ 2019
Yui Ashikaga
 
PDF
俺的 Build Update まとめ
Yui Ashikaga
 
PDF
Azure Contract, Support, License ちょっと Dive
Yui Ashikaga
 
PDF
Azureの契約直前・直後に意識しておくこと10箇条
Yui Ashikaga
 
PDF
俺的 Ignite update 萌えポイント portal&arm, compute, network -
Yui Ashikaga
 
PDF
Virtual Machine Scale Sets 概要
Yui Ashikaga
 
PDF
JAZUG5周年総会 仮想マシンの?(ハテナ)を試す
Yui Ashikaga
 
PDF
Global azure boot camp 2015 in japan 妖怪はみた!実録 Azure事件簿
Yui Ashikaga
 
PDF
JAZUG 4周年総会 「トラブルから学ぶAzure世渡り術」
Yui Ashikaga
 
PDF
ACE 第6回定例会 ショートプレゼン
Yui Ashikaga
 
俺的 Ignite 2021 Fall Update まとめ
Yui Ashikaga
 
俺的 Build 2021 Update まとめ
Yui Ashikaga
 
俺的 Ignite 2021 Spring Update まとめ ミニ
Yui Ashikaga
 
Azure Rock Star Community Day #2 - JAZUG
Yui Ashikaga
 
俺的 Build 2020 Update まとめ
Yui Ashikaga
 
Azure Fundamental
Yui Ashikaga
 
俺的 Ignite Update まとめ 2019
Yui Ashikaga
 
俺的 Build Update まとめ
Yui Ashikaga
 
Azure Contract, Support, License ちょっと Dive
Yui Ashikaga
 
Azureの契約直前・直後に意識しておくこと10箇条
Yui Ashikaga
 
俺的 Ignite update 萌えポイント portal&arm, compute, network -
Yui Ashikaga
 
Virtual Machine Scale Sets 概要
Yui Ashikaga
 
JAZUG5周年総会 仮想マシンの?(ハテナ)を試す
Yui Ashikaga
 
Global azure boot camp 2015 in japan 妖怪はみた!実録 Azure事件簿
Yui Ashikaga
 
JAZUG 4周年総会 「トラブルから学ぶAzure世渡り術」
Yui Ashikaga
 
ACE 第6回定例会 ショートプレゼン
Yui Ashikaga
 
Ad

Recently uploaded (8)

PDF
20250717_Devin×GitHubCopilotで10人分の仕事は出来るのか?.pdf
Masaki Yamakawa
 
PDF
Google Driveハブ型Obsidian同期環境:PC編集とモバイル閲覧を安全・効率的に実現するクロスデバイス構築ガイド
honeshabri
 
PDF
【AI論文解説】 RLHF不要なLLMの強化学習手法: Direct Preference Optimization(+α)
Sony - Neural Network Libraries
 
PPTX
Devcontainerのススメ(1)-Devcontainerとはどういう技術?-
iPride Co., Ltd.
 
PDF
20250711JIMUC総会_先進IT運用管理分科会Connpass公開資料.pdf
ChikakoInami1
 
PDF
論文紹介:OVO-Bench: How Far is Your Video-LLMs from Real-World Online Video​ Unde...
Toru Tamaki
 
PDF
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
NTT DATA Technology & Innovation
 
PDF
20250711JIMUC総会IBM Automation_Platform最新情報_Connpass公開版.pdf
ChikakoInami1
 
20250717_Devin×GitHubCopilotで10人分の仕事は出来るのか?.pdf
Masaki Yamakawa
 
Google Driveハブ型Obsidian同期環境:PC編集とモバイル閲覧を安全・効率的に実現するクロスデバイス構築ガイド
honeshabri
 
【AI論文解説】 RLHF不要なLLMの強化学習手法: Direct Preference Optimization(+α)
Sony - Neural Network Libraries
 
Devcontainerのススメ(1)-Devcontainerとはどういう技術?-
iPride Co., Ltd.
 
20250711JIMUC総会_先進IT運用管理分科会Connpass公開資料.pdf
ChikakoInami1
 
論文紹介:OVO-Bench: How Far is Your Video-LLMs from Real-World Online Video​ Unde...
Toru Tamaki
 
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
NTT DATA Technology & Innovation
 
20250711JIMUC総会IBM Automation_Platform最新情報_Connpass公開版.pdf
ChikakoInami1
 

Azure Cosmos DB Always Encrypted