Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Enkripsi ganda adalah proses mengaktifkan dua atau lebih lapisan enkripsi independen untuk melindungi dari kompromi pada salah satu lapisan enkripsi. Menggunakan dua lapisan enkripsi mengurangi ancaman yang disertakan dengan mengenkripsi data. Contohnya:
- Kesalahan konfigurasi dalam enkripsi data
- Kesalahan implementasi dalam algoritma enkripsi
- Kompromi kunci enkripsi tunggal
Azure menyediakan enkripsi ganda untuk data tidak aktif dan data saat transit.
Data tidak aktif
Pendekatan Microsoft untuk mengaktifkan dua lapisan enkripsi untuk data tidak aktif adalah:
- Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan. Anda menyediakan kunci Anda sendiri untuk enkripsi data saat tidak aktif. Anda dapat membawa kunci Anda sendiri ke Key Vault (BYOK – Bring Your Own Key), atau membuat kunci baru di Azure Key Vault untuk mengenkripsi sumber daya yang diinginkan.
- Enkripsi infrastruktur menggunakan kunci yang dikelola platform. Secara default, data secara otomatis dienkripsi saat tidak aktif menggunakan kunci enkripsi yang dikelola platform.
Data yang sedang dalam perjalanan
Pendekatan Microsoft untuk mengaktifkan dua lapisan enkripsi untuk data saat transit adalah:
- Enkripsi transit menggunakan Transport Layer Security (TLS) 1.2 untuk melindungi data saat bepergian antara layanan cloud dan Anda. Semua lalu lintas yang meninggalkan pusat data dienkripsi saat transit, bahkan jika tujuan lalu lintas adalah pengontrol domain lain di wilayah yang sama. TLS 1.2 adalah protokol keamanan default yang digunakan. TLS menyediakan autentikasi yang kuat, privasi pesan, dan integritas (memungkinkan deteksi pengubahan pesan, intersepsi, dan pemalsuan), interoperabilitas, fleksibilitas algoritma, dan kemudahan penyebaran dan penggunaan.
- Lapisan enkripsi tambahan yang disediakan pada lapisan infrastruktur. Setiap kali lalu lintas pelanggan Azure berpindah antar pusat data-- di luar batas fisik yang tidak dikontrol oleh Microsoft atau atas nama Microsoft-- metode enkripsi lapisan tautan data menggunakan Standar Keamanan MAC IEEE 802.1AE (juga dikenal sebagai MACsec) diterapkan dari titik ke titik di seluruh perangkat keras jaringan yang mendasar. Paket-paket dienkripsi dan didekripsi pada perangkat sebelum dikirim, sehingga mencegah serangan fisik seperti "man-in-the-middle" atau penyadapan. Karena teknologi ini terintegrasi pada perangkat keras jaringan itu sendiri, teknologi ini menyediakan enkripsi laju garis pada perangkat keras jaringan tanpa peningkatan latensi tautan yang terukur. Enkripsi MACsec ini aktif secara default untuk semua lalu lintas Azure yang bepergian dalam suatu wilayah atau antar wilayah, dan tidak ada tindakan yang diperlukan pada bagian pelanggan untuk diaktifkan.
Langkah selanjutnya
Pelajari cara enkripsi digunakan di Azure.