雙重加密

雙重加密是指啟用兩個以上的獨立加密層，以防範任何一個加密層遭到入侵。使用兩層加密可減輕資料加密伴隨而來的威脅。例如：

Azure 支援待用資料和傳輸中資料的雙重加密。

待用資料

Microsoft 針對待用資料啟用兩層加密的方式為：

使用客戶自控金鑰進行待用加密。您可以提供自己的金鑰進行資料待用加密。您可以將自己的金鑰帶入金鑰保存庫 (BYOK – 攜帶您自己的金鑰)，或在 Azure Key Vault 中產生新的金鑰，以加密所需的資源。
使用平台代控金鑰進行基礎結構加密。根據預設，會使用平台代控加密金鑰自動對資料進行待用加密。

Microsoft 針對傳輸中資料啟用兩層加密的方式為：

在雲端服務與您之間移動資料時，使用傳輸層安全性 (TLS) 1.2 來傳輸加密，以保護資料。所有離開資料中心的流量都會進行傳輸中加密，即使流量目的地是相同區域中的另一個網域控制站也是一樣。 TLS 1.2 是使用的預設安全性通訊協定。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性，以及輕鬆部署和使用。
基礎結構層提供的額外加密層。每當 Azure 客戶流量在資料中心之間移動時 (Microsoft 或代表 Microsoft 所控制的實體界限外)，即使用 IEEE 802.1AE MAC 安全性標準 (也稱為 MACsec) 的資料連結層加密方法，會從基礎網路硬體的點對點套用。封包會在傳送之前先進行加密和解密，以防止實體「攔截式」攻擊或窺探/竊聽攻擊。此技術整合到網路硬體本身，在網路硬體上提供線路速率加密，連結延遲不會明顯增加。根據預設，此 MACsec 加密會針對區域內或區域之間移動的所有 Azure 流量開啟，而且客戶部分不需要採取任何動作即可啟用。