Enkripsi ganda

  • Artikel

Enkripsi ganda adalah ketika dua atau lebih lapisan enkripsi independen diaktifkan untuk melindungi dari bahaya dari satu lapisan enkripsi mana pun. Menggunakan dua lapisan enkripsi mengurangi ancaman yang datang dengan mengenkripsi data. Contohnya:

  • Kesalahan konfigurasi dalam enkripsi data
  • Kesalahan implementasi dalam algoritma enkripsi
  • Bahaya kunci enkripsi tunggal

Azure menyediakan enkripsi ganda untuk data saat tidak aktif dan data saat transit.

Data saat tidak aktif

Pendekatan Microsoft untuk mengaktifkan dua lapisan enkripsi untuk data saat tidak aktif adalah:

  • Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan. Anda dapat menyediakan kunci Anda sendiri untuk enkripsi data saat tidak aktif. Anda dapat membawa kunci Anda sendiri ke Key Vault (BYOK - Bring Your Own Key), atau hasilkan kunci baru di Azure Key Vault untuk mengenkripsi sumber daya yang diinginkan.
  • Enkripsi infrastruktur menggunakan kunci yang dikelola oleh platform. Secara default, data secara otomatis dienkripsi saat tidak aktif menggunakan kunci enkripsi yang dikelola platform.

Data saat transit

Pendekatan Microsoft untuk mengaktifkan dua lapisan enkripsi untuk data saat transit adalah:

  • Enkripsi transit menggunakan Transport Layer Security (TLS) 1.2 untuk melindungi data saat transit antar layanan cloud dan Anda. Semua lalu lintas yang meninggalkan pusat data dienkripsi saat transit, bahkan jika tujuan lalu lintas adalah pengontrol domain lain di wilayah yang sama. TLS 1.2 adalah protokol keamanan default yang digunakan. TLS menyediakan autentikasi yang kuat, privasi pesan, dan integritas (memungkinkan deteksi perusakan pesan, penyadapan, dan pemalsuan), interoperabilitas, fleksibilitas algoritma, dan kemudahan penyebaran dan penggunaan.
  • Lapisan enkripsi tambahan yang disediakan di lapisan infrastruktur. Setiap kali lalu lintas pelanggan Azure berpindah antara pusat data-- di luar batas fisik yang tidak dikontrol oleh Microsoft atau atas nama Microsoft-- metode enkripsi lapisan tautan data menggunakan IEEE 802.1AE MAC Security Standards (juga dikenal sebagai MACsec) diterapkan dari titik ke titik di seluruh perangkat keras jaringan yang mendasari. Paket dienkripsi dan didekripsi pada perangkat sebelum dikirim, mencegah serangan fisik "man-in-the-middle" atau mengintip/menyadap. Karena terintegrasi pada perangkat keras jaringan itu sendiri, teknologi ini menyediakan enkripsi laju saluran pada perangkat keras jaringan tanpa peningkatan latensi tautan yang terukur. Enkripsi MACsec ini aktif secara default untuk semua lalu lintas Azure yang berpindah di dalam wilayah atau antar wilayah, dan tidak ada tindakan yang diperlukan pada bagian pelanggan untuk mengaktifkan.

Langkah berikutnya

Pelajari bagaiman enkripsi digunakan di Azure.