Dubbele versleuteling

  • Artikel

Dubbele versleuteling is waar twee of meer onafhankelijke lagen van versleuteling zijn ingeschakeld om te beschermen tegen inbreuk op een versleutelingslaag. Het gebruik van twee lagen van versleuteling vermindert bedreigingen die gepaard gaan met het versleutelen van gegevens. Bijvoorbeeld:

  • Configuratiefouten in de gegevensversleuteling
  • Implementatiefouten in het versleutelingsalgoritmen
  • Inbreuk op één versleutelingssleutel

Azure biedt dubbele versleuteling voor data-at-rest en data-in-transit.

Inactieve gegevens

De benadering van Microsoft voor het inschakelen van twee lagen van versleuteling voor data-at-rest is:

  • Versleuteling-at-rest met behulp van door de klant beheerde sleutels. U geeft uw eigen sleutel op voor data-at-rest-versleuteling. U kunt uw eigen sleutels meenemen naar uw Key Vault (BYOK – Bring Your Own Key) of nieuwe sleutels genereren in Azure Key Vault om de gewenste resources te versleutelen.
  • Infrastructuurversleuteling met behulp van door het platform beheerde sleutels. Standaard worden gegevens in rust automatisch versleuteld met behulp van door het platform beheerde versleutelingssleutels.

Actieve gegevens

De benadering van Microsoft voor het inschakelen van twee lagen van versleuteling voor gegevens in transit is:

  • Overdrachtsversleuteling met Tls 1.2 (Transport Layer Security) om gegevens te beveiligen wanneer deze tussen de cloudservices en u worden verplaatst. Al het verkeer dat een datacenter verlaat, wordt onderweg versleuteld, zelfs als de verkeersbestemming een andere domeincontroller in dezelfde regio is. TLS 1.2 is het standaardbeveiligingsprotocol dat wordt gebruikt. TLS biedt sterke verificatie, berichtprivacy en integriteit (waardoor manipulatie van berichten, interceptie en vervalsing kan worden gedetecteerd), interoperabiliteit, flexibiliteit van algoritmes en gebruiksgemak.
  • Extra versleutelingslaag op de infrastructuurlaag. Wanneer verkeer van Azure-klanten tussen datacenters wordt verplaatst, buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft, wordt een versleutelingsmethode voor gegevenskoppelingslagen met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) vanaf punt-naar-punt toegepast op de onderliggende netwerkhardware. De pakketten worden versleuteld en ontsleuteld op de apparaten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Omdat deze technologie is geïntegreerd op de netwerkhardware zelf, biedt het versleuteling van de lijnsnelheid op de netwerkhardware zonder een meetbare toename van de koppelingslatentie. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Azure-verkeer dat binnen een regio of tussen regio's wordt verplaatst. Klanten hoeven hiervoor geen actie te ondernemen.

Volgende stappen

Meer informatie over het gebruik van versleuteling in Azure.