Двойное шифрование

  • Статья

Суть двойного шифрования заключается в том, что для защиты от компрометации любого уровня шифрования включены два или более независимых уровня шифрования. Использование двух уровней шифрования снижает риски угроз, связанных с шифрованием данных. Пример:

  • ошибки конфигурации при шифровании данных;
  • ошибки реализации в алгоритме шифрования;
  • компрометация одного ключа шифрования.

Azure обеспечивает двойное шифрование для неактивных и передаваемых данных.

Неактивные данные

Подход корпорации Майкрософт к включению двух уровней шифрования для неактивных данных:

  • Шифрование неактивных данных с помощью ключей, управляемых клиентом Вы предоставляете собственный ключ для шифрования неактивных данных. Вы можете перенести собственные ключи в Key Vault (BYOK — создание собственных ключей) или создать новые ключи в Azure Key Vault для шифрования нужных ресурсов.
  • Шифрование инфраструктуры с использованием ключей, управляемых платформой. По умолчанию неактивные данные автоматически шифруются с помощью ключей шифрования, управляемых платформой.

Передаваемые данные

Подход корпорации Майкрософт к включению двух уровней шифрования для передаваемых данных:

  • Транзитное шифрование с использованием протокола TLS 1.2 для защиты данных при передаче между облачными службами и вами. Весь трафик из центра обработки данных шифруется при передаче, даже если назначением трафика является другой контроллер домена в том же регионе. По умолчанию используется протокол безопасности TLS 1.2. TLS обеспечивает надежную аутентификацию, конфиденциальность сообщений, целостность данных (включая обнаружение незаконного изменения, перехвата и подделки сообщений), взаимодействие, гибкость алгоритмов, простоту развертывания и использования.
  • Дополнительный уровень шифрования, предоставляемый на уровне инфраструктуры. Когда трафик клиентов Azure перемещается между центрами обработки данных — за пределы физических границ, не контролируемых корпорацией Майкрософт, или от имени корпорации Майкрософт,— к базовому сетевому оборудованию для подключений "точка — точка" применяется метод шифрования трафика канального уровня, использующий стандарты безопасности IEEE 802.1AE MAC (также известные как MACsec). Пакеты шифруются и расшифровываются на устройствах перед отправкой для защиты от физических атак "злоумышленник в середине" и атак перехвата (подслушивания). Так как эта технология интегрирована в само сетевое оборудование, она обеспечивает шифрование со скоростью передачи данных на сетевом оборудовании без заметного увеличения задержки связи. Шифрование MACsec включено по умолчанию для всего трафика Azure, передаваемого в пределах региона или между регионами. Для его включения никаких действий со стороны клиентов не требуется.

Дальнейшие действия

Узнайте, как используется шифрование в Azure.