Dupla titkosítás

  • Cikk

A kettős titkosítás olyan, ahol két vagy több független titkosítási réteg van engedélyezve, hogy védelmet nyújtsunk bármely titkosítási réteg sérülései ellen. Két titkosítási réteg használata csökkenti az adatok titkosításával kapcsolatos fenyegetéseket. Például:

  • Konfigurációs hibák az adattitkosításban
  • Megvalósítási hibák a titkosítási algoritmusban
  • Egyetlen titkosítási kulcs biztonsága

Az Azure dupla titkosítást biztosít az inaktív és az átvitel alatt álló adatokhoz.

Inaktív adatok

A Microsoft megközelítése két rétegű titkosítás engedélyezésére az inaktív adatok esetében:

  • Inaktív titkosítás ügyfél által felügyelt kulcsokkal. Saját kulcsot ad meg az inaktív adattitkosításhoz. Saját kulcsokat hozhat a Key Vault (BYOK – Saját kulcs használata) vagy új kulcsokat hozhat létre az Azure Key Vault a kívánt erőforrások titkosításához.
  • Infrastruktúra titkosítása platform által felügyelt kulcsokkal. Alapértelmezés szerint az adatok automatikusan titkosítva lesznek inaktív állapotban platform által felügyelt titkosítási kulcsokkal.

Átvitt adatok

A Microsoft megközelítése a két rétegű titkosítás engedélyezésére az átvitel alatt álló adatok esetében a következő:

  • Átviteltitkosítás a Transport Layer Security (TLS) 1.2 használatával az adatok védelme érdekében, amikor a felhőszolgáltatások és Ön között utaznak. Az adatközpontot elhagyó összes forgalom átvitel közben titkosítva van, még akkor is, ha a forgalom célhelye egy másik tartományvezérlő ugyanabban a régióban. A TLS 1.2 az alapértelmezett biztonsági protokoll. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen behatolásának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint a könnyű üzembe helyezést és használatot.
  • További titkosítási réteg az infrastruktúrarétegben. Amikor az Azure-ügyfélforgalom az adatközpontok között mozog – a Microsoft által nem ellenőrzött fizikai határokon kívül vagy a Microsoft nevében –, az IEEE 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazza a rendszer pontról pontra a mögöttes hálózati hardveren. A csomagok titkosítása és visszafejtése az eszközökön, mielőtt elküldené őket, megakadályozva a fizikai "ember a közepén" vagy a snooping/wiretapping támadásokat. Mivel ez a technológia magában a hálózati hardverben van integrálva, a hálózati hardveren a vonalsebesség titkosítását biztosítja, és nincs mérhető kapcsolatkésés-növekedés. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között közlekedő összes Azure-forgalom esetében, és az ügyfelek részéről nincs szükség beavatkozásra az engedélyezéshez.

Következő lépések

Megtudhatja, hogyan használja a titkosítást az Azure-ban.