Dvojité šifrování

  • Článek

Dvojité šifrování je místo, kde jsou povolené dvě nebo více nezávislých vrstev šifrování, které chrání před ohrožením jakékoli jedné vrstvy šifrování. Použití dvou vrstev šifrování zmírní hrozby, které jsou součástí šifrování dat. Příklad:

  • Chyby konfigurace v šifrování dat
  • Chyby implementace v šifrovacím algoritmu
  • Ohrožení zabezpečení jednoho šifrovacího klíče

Azure poskytuje dvojité šifrování neaktivních uložených dat a přenášených dat.

Neaktivní uložená data

Přístup Microsoftu k povolení dvou vrstev šifrování neaktivních uložených dat:

  • Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem Pro šifrování neaktivních uložených dat poskytnete vlastní klíč. Do svého Key Vault si můžete přinést vlastní klíče (BYOK – Bring Your Own Key) nebo vygenerovat nové klíče v Azure Key Vault k zašifrování požadovaných prostředků.
  • Šifrování infrastruktury pomocí klíčů spravovaných platformou. Ve výchozím nastavení se neaktivní uložená data automaticky šifrují pomocí šifrovacích klíčů spravovaných platformou.

Přenášená data

Přístup Microsoftu k povolení dvou vrstev šifrování přenášených dat:

  • Šifrování přenosu pomocí protokolu TLS (Transport Layer Security) 1.2 k ochraně dat při přenosu mezi cloudovými službami a vámi. Veškerý provoz opouštějící datacentrum se při přenosu zašifruje, a to i v případě, že cílem provozu je jiný řadič domény ve stejné oblasti. TLS 1.2 je výchozí použitý protokol zabezpečení. Tls poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňuje detekci manipulace se zprávami, zachycování a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.
  • Další vrstva šifrování poskytovaná na vrstvě infrastruktury Pokaždé, když se zákaznický provoz Azure přesune mezi datovými centry – mimo fyzické hranice, které neřídí Microsoft ani jménem Microsoftu – se na základní síťový hardware použije metoda šifrování vrstvy datového propojení využívající standardy zabezpečení IEEE 802.1AE MAC (označované také jako MACsec). Pakety se na zařízeních před odesláním zašifrují a dešifrují, což brání fyzickým útokům "man-in-the-middle" nebo slídání/odposílání. Vzhledem k tomu, že je tato technologie integrovaná do samotného síťového hardwaru, poskytuje šifrování přenosové rychlosti na síťovém hardwaru bez měřitelného zvýšení latence propojení. Toto šifrování MACsec je ve výchozím nastavení zapnuté pro veškerý provoz Azure, který cestuje v rámci oblasti nebo mezi oblastmi, a k povolení ze strany zákazníků se nevyžaduje žádná akce.

Další kroky

Zjistěte, jak se v Azure používá šifrování.