KeyVaultを使用せずにAzureで暗号化するための戦略

Question

Azure Blobストレージにいくつかのコンテンツを保存する必要があり、Azure Blobに保存する前に暗号化したい（Azureストレージ暗号化に依存したくない）。問題は、私たちの暗号化キーをAzure（たとえば鍵保管庫）に保存してAzureの外に保管したくないということです。これを達成するための戦略に関する提案はありますか？

Answer 1

暗号鍵をAzure（キーボルトなど）に保存して、Azureの外部に保存したくないという問題があります。

Azure Storage Service Encryptionでは、これまで独自の暗号化キーを使用することはできません。独自の暗号化キーを使用してAzureの外部に格納するには、ストレージサービス用のプロキシを作成する必要があります。

たとえば、すべてのBLOB読み取り/書き込み要求を処理するWeb APIを作成できます。 Web APIでは、独自の暗号化キーを使用してデータを暗号化または復号化し、データをAzure Blobストレージに書き込んだり、読み取ったりすることができます。

この方法の制限は、Azure Storage Clientライブラリやその他のツールを使用してストレージプロキシ（Web API）にアクセスすることができないためです。

私たちが使用できるオンプレミスの秘密のオプションは、Azureのコンポーネントからアクセスできます。

ローカル側にキーを保存し、このキーを返す内部APIを作成することをお勧めします。紺色のコンポーネントからこの内部APIにアクセスするには、ハイブリッド接続を使用できます。

Access on-premises resources using hybrid connections in Azure App Service