Dubbele versleuteling

  • Artikel
  • 2 minuten om te lezen

Dubbele versleuteling is de plaats waar twee of meer onafhankelijke lagen van versleuteling zijn ingeschakeld om te beschermen tegen inbreuk op een bepaalde versleutelingslaag. Het gebruik van twee versleutelingslagen vermindert bedreigingen die gepaard gaan met het versleutelen van gegevens. Bijvoorbeeld:

  • Configuratiefouten in de gegevensversleuteling
  • Implementatiefouten in het versleutelingsalgoritmen
  • Inbreuk op één versleutelingssleutel

Azure biedt dubbele versleuteling voor data-at-rest en data-in-transit.

Inactieve gegevens

Microsoft aanpak voor het inschakelen van twee lagen van versleuteling voor data-at-rest is:

  • Versleuteling-at-rest met door de klant beheerde sleutels. U geeft uw eigen sleutel op voor gegevensversleuteling-at-rest. U kunt uw eigen sleutels meenemen naar uw Key Vault (BYOK – Bring Your Own Key) of nieuwe sleutels genereren in Azure Key Vault om de gewenste resources te versleutelen.
  • Infrastructuurversleuteling met behulp van door het platform beheerde sleutels. Standaard worden gegevens in rust automatisch versleuteld met behulp van door het platform beheerde versleutelingssleutels.

Actieve gegevens

Microsoft aanpak voor het inschakelen van twee lagen van versleuteling voor gegevens in transit is:

  • Transitversleuteling met Tls 1.2 (Transport Layer Security) om gegevens te beveiligen wanneer deze tussen de cloudservices en u worden uitgevoerd. Al het verkeer dat een datacenter verlaat, wordt onderweg versleuteld, zelfs als de verkeersbestemming een andere domeincontroller in dezelfde regio is. TLS 1.2 is het standaardbeveiligingsprotocol dat wordt gebruikt. TLS biedt sterke verificatie, berichtprivacy en integriteit (waardoor de detectie van manipulatie van berichten, onderschepping en vervalsing mogelijk is), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak.
  • Extra versleutelingslaag op de infrastructuurlaag. Wanneer verkeer van Azure-klanten zich verplaatst tussen datacenters, buiten fysieke grenzen die niet worden beheerd door Microsoft of namens Microsoft, wordt een versleutelingsmethode voor gegevenskoppelingslagen met behulp van de IEEE 802.1AE MAC-beveiligingsstandaarden (ook wel MACsec genoemd) toegepast vanaf punt-naar-punt op de onderliggende netwerkhardware. De pakketten worden versleuteld en ontsleuteld op de apparaten voordat ze worden verzonden, waardoor fysieke 'man-in-the-middle' of snooping/wiretapping-aanvallen worden voorkomen. Omdat deze technologie is geïntegreerd op de netwerkhardware zelf, biedt het versleuteling van de regelsnelheid op de netwerkhardware zonder een meetbare toename van de koppelingslatentie. Deze MACsec-versleuteling is standaard ingeschakeld voor al het Azure-verkeer dat binnen een regio of tussen regio's rijdt, en er is geen actie vereist van de kant van de klant om in te schakelen.

Volgende stappen

Meer informatie over het gebruik van versleuteling in Azure.