Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dubbele versleuteling is waarbij twee of meer onafhankelijke versleutelingslagen zijn ingeschakeld om te beschermen tegen inbreuk op een willekeurige versleutelingslaag. Het gebruik van twee versleutelingslagen beperkt bedreigingen die worden geleverd met het versleutelen van gegevens. Voorbeeld:
- Configuratiefouten in de gegevensversleuteling
- Implementatiefouten in het versleutelingsalgoritmen
- Inbreuk op één versleutelingssleutel
Azure biedt dubbele versleuteling voor data-at-rest en data in transit.
Gegevens in rust
De aanpak van Microsoft bij het inschakelen van twee versleutelingslagen voor gegevens die stilstaan, is:
- Versleuteling in rust met door de klant beheerde sleutels. U geeft uw eigen sleutel op voor het versleutelen van gegevens in rust. U kunt uw eigen sleutels meenemen naar uw Key Vault (BYOK – Bring Your Own Key) of nieuwe sleutels genereren in Azure Key Vault om de gewenste resources te versleutelen.
- Infrastructuurversleuteling met behulp van door platform beheerde sleutels. Standaard worden gegevens in rust automatisch versleuteld met behulp van door het platform beheerde versleutelingssleutels.
Gegevens tijdens overdracht
De aanpak van Microsoft voor het inschakelen van twee versleutelingslagen voor gegevens die worden verzonden, is:
- Transitversleuteling met TLS 1.2 (Transport Layer Security) 1.2 om gegevens te beveiligen wanneer ze tussen de cloudservices en u reizen. Al het verkeer dat een datacenter verlaat, wordt tijdens overdracht versleuteld, zelfs als de bestemming van het verkeer een andere domeincontroller in dezelfde regio is. TLS 1.2 is het standaardbeveiligingsprotocol dat wordt gebruikt. TLS biedt sterke verificatie, privacy en integriteit van berichten (waardoor manipulatie, onderschepping en vervalsing van berichten kunnen worden gedetecteerd), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak.
- Extra versleutelingslaag die wordt geleverd op de infrastructuurlaag. Wanneer het verkeer van Azure-klanten tussen datacenters wordt verplaatst, buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft, wordt een versleutelingsmethode voor gegevenskoppelingen toegepast met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) van punt-naar-punt over de onderliggende netwerkhardware. De pakketten worden versleuteld en ontsleuteld op de apparaten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Omdat deze technologie is geïntegreerd op de netwerkhardware zelf, biedt deze regelsnelheidversleuteling op de netwerkhardware zonder meetbare toename van de koppelingslatentie. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Verkeer van Azure binnen een regio of tussen regio's en er is geen actie vereist voor het onderdeel van klanten om dit in te schakelen.
Volgende stappen
Meer informatie over hoe versleuteling wordt gebruikt in Azure.