Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A kettős titkosítás lehetővé teszi két vagy több független titkosítási réteg védelmét bármely titkosítási réteg feltörése ellen. Két titkosítási réteg használata csökkenti az adatok titkosításával kapcsolatos fenyegetéseket. Például:
- Konfigurációs hibák az adattitkosításban
- Implementálási hibák a titkosítási algoritmusban
- Egyetlen titkosítási kulcs feltörése
Az Azure kettős titkosítást biztosít a inaktív és az átvitel alatt lévő adatokhoz.
Nyugalmi állapotban lévő adatok
A Microsoft kétféle titkosítási réteg engedélyezését teszi lehetővé a inaktív adatok számára:
- Inaktív titkosítás ügyfél által felügyelt kulcsokkal. Saját kulcsot ad meg az inaktív adattitkosításhoz. Saját kulcsokat hozhat a Key Vaultba (BYOK – Saját kulcs használata), vagy létrehozhat új kulcsokat az Azure Key Vaultban a kívánt erőforrások titkosításához.
- Infrastruktúra-titkosítás platform által felügyelt kulcsokkal. Alapértelmezés szerint az adatok automatikusan titkosítva lesznek inaktív állapotban platform által felügyelt titkosítási kulcsokkal.
Ez a két réteg külön kulcsokat használ a független kulcshierarchiáktól, amelyeket különböző operátorok kezelnek – Ön a szolgáltatásszintű kulcsot, míg a Microsoft az infrastruktúraszintű kulcsot vezérli.
Átvitt adatok
A Microsoft kétféle titkosítási réteget engedélyez az átvitel alatt álló adatokhoz:
- Átviteltitkosítás a Transport Layer Security (TLS) 1.2 használatával az adatok védelmére a felhőszolgáltatások és Ön között. Az adatközpontot elhagyó összes forgalom átvitel közben titkosítva van, még akkor is, ha a forgalmi cél egy másik tartományvezérlő ugyanabban a régióban. A TLS 1.2 az alapértelmezett biztonsági protokoll. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen behatolásának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és a használat egyszerűségét.
- Az infrastruktúra rétegében biztosított további titkosítási réteg. Amikor az Azure-ügyfélforgalom az adatközpontok között mozog – a Microsoft által nem ellenőrzött fizikai határokon kívül vagy a Microsoft nevében – az IEEE 802.1AE MAC biztonsági szabványokat (más néven MACsec) használó adatkapcsolati réteg titkosítási módszerét alkalmazzák pontról pontra a mögöttes hálózati hardveren. A csomagok titkosítva és visszafejtve vannak az eszközökön, mielőtt elküldésre kerülnek, megakadályozva ezzel a fizikai "középső támadásokat" vagy a lehallgató/kábellehallgatásos támadásokat. Mivel ez a technológia magában a hálózati hardverben van integrálva, a hálózati hardveren vonalsebesség-titkosítást biztosít, és nincs mérhető kapcsolat késése. Ez a MACsec-titkosítás alapértelmezés szerint be van kapcsolva a régión belül vagy régiók között utazó összes Azure-forgalom esetében, és az ügyfelek részéről nincs szükség műveletre az engedélyezéshez.
Következő lépések
Ismerje meg , hogyan használják a titkosítást az Azure-ban.