Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Dvojité šifrování je místo, kde jsou povoleny dvě nebo více nezávislých vrstev šifrování, které chrání před ohrožením jakékoli vrstvy šifrování. Použití dvou vrstev šifrování snižuje hrozby, které jsou součástí šifrování dat. Například:
- Chyby konfigurace při šifrování dat
- Chyby implementace v šifrovacím algoritmu
- Kompromitace jednoho šifrovacího klíče
Azure poskytuje dvojité šifrování neaktivních uložených dat a přenášených dat.
Data v klidu
Přístup Microsoftu k povolení dvou vrstev šifrování neaktivních uložených dat:
- Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem Při šifrování dat v klidu zadáte vlastní klíč. Do služby Key Vault (BYOK – Přineste si vlastní klíč) můžete použít vlastní klíče nebo vygenerovat nové klíče ve službě Azure Key Vault k šifrování požadovaných prostředků.
- Šifrování infrastruktury pomocí klíčů spravovaných platformou Ve výchozím nastavení se neaktivní uložená data automaticky šifrují pomocí šifrovacích klíčů spravovaných platformou.
Data v transitu
Přístup Microsoftu k povolení dvou vrstev šifrování přenášených dat je:
- Šifrování přenosu pomocí protokolu TLS (Transport Layer Security) 1.2 k ochraně dat při přenosu mezi cloudovými službami a vámi. Veškerý provoz odcházející z datacentra se při přenosu šifruje, i když je cílem provozu jiný řadič domény ve stejné oblasti. Tls 1.2 je výchozí použitý protokol zabezpečení. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.
- Další vrstva šifrování poskytovaná ve vrstvě infrastruktury. Kdykoli se zákaznický provoz Azure přesune mezi datovými centry – mimo fyzické hranice, které neřídí Microsoft nebo jménem Microsoftu – metodu šifrování vrstvy datového propojení pomocí standardů zabezpečení MAC IEEE 802.1AE (označovaných také jako MACsec) se použije z bodu do bodu napříč základním síťovým hardwarem. Pakety se na zařízeních zašifrují a dešifrují před odesláním, což brání fyzickým útokům typu "man-in-the-middle" nebo útokům typu odposlech/napojení na drát. Vzhledem k tomu, že tato technologie je integrovaná do samotného síťového hardwaru, poskytuje šifrování přenosové rychlosti síťového hardwaru bez měřitelného zvýšení latence propojení. Toto šifrování MACsec je ve výchozím nastavení zapnuté pro veškerý provoz Azure, který cestuje v rámci oblasti nebo mezi oblastmi, a není potřeba provádět žádnou akci na straně zákazníků, aby bylo možné povolit.
Další kroky
Zjistěte, jak se v Azure používá šifrování.