DP300-SEC#9
Azure SQL Database 暗号化機能について以下の各記述の正誤を判定してください。
| ステートメント | はい | いいえ |
|---|---|---|
TDE はデータファイル / ログファイル / バックアップを Storage 書き込み時に透過暗号化する。 TDE は Storage I/O 層で透過暗号化を実施し ファイル盗難 / バックアップ漏洩時にも 暗号化キーなしでは復号 不可になります。 | ||
Always Encrypted は DBA もカラム値の平文を参照できない。 Always Encrypted はクライアント側で 暗号化 / 復号 を実施し SQL Database 内では常に暗号化バイナリで保管されるため DBA も平文は見えません。 | ||
TDE Customer-Managed Key (CMK) は Azure Storage Account にキーを保管する。 TDE CMK は Azure Key Vault に保管します。Storage Account はキー保管先ではなく バックアップ保管用途です。 |
解説
【正解一覧】
| ステートメント | 正解 |
|---|---|
| TDE はデータファイル / ログファイル / バックアップを Storage 書き込み時に透過暗号化する。 | はい |
| Always Encrypted は DBA もカラム値の平文を参照できない。 | はい |
| TDE Customer-Managed Key | いいえ |
【各判定の詳細】
- 「TDE はデータファイル / ログファイル / バックアップを Storage 書き込み時に透過…」→ はい: TDE は Storage I/O 層で透過暗号化を実施し ファイル盗難 / バックアップ漏洩時にも 暗号化キーなしでは復号 不可になります。
- 「Always Encrypted は DBA もカラム値の平文を参照できない。」→ はい: Always Encrypted はクライアント側で 暗号化 / 復号 を実施し SQL Database 内では常に暗号化バイナリで保管されるため DBA も平文は見えません。
- 「TDE Customer-Managed Key」→ いいえ: TDE CMK は Azure Key Vault に保管します。Storage Account はキー保管先ではなく バックアップ保管用途です。
コメント