Dvojité šifrování

Dvojité šifrování je místo, kde jsou povoleny dvě nebo více nezávislých vrstev šifrování, aby se chránily před ohrožením jakékoli vrstvy šifrování. Použití dvou vrstev šifrování snižuje hrozby, které jsou součástí šifrování dat. Příklad:

  • Chyby konfigurace v šifrování dat
  • Chyby implementace v šifrovacím algoritmu
  • Ohrožení zabezpečení jednoho šifrovacího klíče

Azure poskytuje dvojité šifrování neaktivních uložených dat a přenášených dat.

Neaktivní uložená data

Přístup Microsoftu k povolení dvou vrstev šifrování neaktivních uložených dat je:

  • Šifrování neaktivních uložených uložených klíčů pomocí klíčů spravovaných zákazníkem Pro šifrování neaktivních uložených dat zadáte vlastní klíč. Do svého Key Vault (BYOK – Přineste si vlastní klíč) můžete přivést vlastní klíče nebo vygenerovat nové klíče v Azure Key Vault k šifrování požadovaných prostředků.
  • Šifrování infrastruktury pomocí klíčů spravovaných platformou Ve výchozím nastavení se neaktivní uložená data automaticky šifrují pomocí šifrovacích klíčů spravovaných platformou.

Přenášená data

Přístup Microsoftu k povolení dvou vrstev šifrování pro přenášená data je:

  • Šifrování přenosu pomocí protokolu TLS (Transport Layer Security) 1.2 k ochraně dat při přenosu mezi cloudovými službami a vámi. Veškerý provoz, který opustí datacentrum, se při přenosu zašifruje, i když je cíl provozu jiným řadičem domény ve stejné oblasti. Tls 1.2 je výchozí použitý protokol zabezpečení. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňuje detekci manipulace se zprávami, zachycení a zfalšování), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.
  • Další vrstva šifrování poskytovaná ve vrstvě infrastruktury. Kdykoli se zákaznický provoz Azure přesune mezi datovými centry – mimo fyzické hranice, které microsoft neřídí nebo jménem Microsoftu – metoda šifrování vrstvy datového propojení pomocí standardů zabezpečení IEEE 802.1AE MAC (označovaných také jako MACsec) se použije od bodu k bodu po bodu napříč základním síťovým hardwarem. Pakety se před odesláním zašifrují a dešifrují na zařízeních, což brání fyzickým útokům typu man-in-the-middle nebo snooping/wiretapping. Vzhledem k tomu, že tato technologie je integrovaná na samotném síťovém hardwaru, poskytuje šifrování přenosové rychlosti na síťovém hardwaru bez měřitelné latence propojení. Toto šifrování MACsec je ve výchozím nastavení zapnuté pro veškerý provoz Azure v rámci oblasti nebo mezi oblastmi a k povolení není potřeba žádná akce.

Další kroky

Zjistěte, jak se šifrování používá v Azure.