Podwójne szyfrowanie

  • Artykuł

Podwójne szyfrowanie polega na tym, że włączono co najmniej dwie niezależne warstwy szyfrowania, aby chronić przed naruszeniami zabezpieczeń dowolnej warstwy szyfrowania. Użycie dwóch warstw szyfrowania ogranicza zagrożenia, które są dostarczane z szyfrowaniem danych. Przykład:

  • Błędy konfiguracji w szyfrowaniu danych
  • Błędy implementacji algorytmu szyfrowania
  • Naruszenie zabezpieczeń jednego klucza szyfrowania

Platforma Azure zapewnia podwójne szyfrowanie danych magazynowanych i przesyłanych danych.

Dane magazynowane

Podejście firmy Microsoft do włączania dwóch warstw szyfrowania danych magazynowanych jest następujące:

  • Szyfrowanie magazynowane przy użyciu kluczy zarządzanych przez klienta. Do szyfrowania danych magazynowanych należy podać własny klucz. Możesz przenieść własne klucze do Key Vault (BYOK — Bring Your Own Key) lub wygenerować nowe klucze w usłudze Azure Key Vault, aby zaszyfrować żądane zasoby.
  • Szyfrowanie infrastruktury przy użyciu kluczy zarządzanych przez platformę. Domyślnie dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy szyfrowania zarządzanych przez platformę.

Dane przesyłane

Podejście firmy Microsoft do włączania dwóch warstw szyfrowania danych przesyłanych jest następujące:

  • Szyfrowanie tranzytowe przy użyciu protokołu Transport Layer Security (TLS) 1.2 w celu ochrony danych podczas podróży między usługami w chmurze a Tobą. Cały ruch opuszczający centrum danych jest szyfrowany podczas przesyłania, nawet jeśli miejsce docelowe ruchu jest innym kontrolerem domeny w tym samym regionie. Tls 1.2 jest domyślnym protokołem zabezpieczeń. Protokół TLS zapewnia silne uwierzytelnianie, prywatność komunikatów i integralność (umożliwiając wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.
  • Dodatkowa warstwa szyfrowania dostępna w warstwie infrastruktury. Za każdym razem, gdy ruch klienta platformy Azure odbywa się między centrami danych — poza granicami fizycznymi, które nie są kontrolowane przez firmę Microsoft lub w imieniu firmy Microsoft — metoda szyfrowania warstwy łącza danych przy użyciu standardów zabezpieczeń IEEE 802.1AE MAC (znanych również jako MACsec) jest stosowana z punktu do punktu w podstawowym sprzęcie sieciowym. Pakiety są szyfrowane i odszyfrowywane na urządzeniach przed wysłaniem, uniemożliwiając fizyczne ataki typu "man-in-the-middle" lub snooping/wiretapping. Ponieważ ta technologia jest zintegrowana z samym sprzętem sieciowym, zapewnia szyfrowanie szybkości linii na sprzęcie sieciowym bez mierzalnego opóźnienia połączenia. To szyfrowanie MACsec jest domyślnie włączone dla całego ruchu platformy Azure podróżującego w regionie lub między regionami, a w części klienta nie jest wymagana żadna akcja.

Następne kroki

Dowiedz się, jak szyfrowanie jest używane na platformie Azure.