Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podwójne szyfrowanie polega na tym, że co najmniej dwie niezależne warstwy szyfrowania są włączone w celu ochrony przed naruszeniami dowolnego warstwy szyfrowania. Użycie dwóch warstw szyfrowania ogranicza zagrożenia, które są dostarczane z szyfrowaniem danych. Przykład:
- Błędy konfiguracji w szyfrowaniu danych
- Błędy implementacji w algorytmie szyfrowania
- Naruszenie zabezpieczeń pojedynczego klucza szyfrowania
Platforma Azure zapewnia podwójne szyfrowanie danych magazynowanych i przesyłanych danych.
Dane w stanie spoczynku
Podejście firmy Microsoft do włączania dwóch warstw szyfrowania dla danych w spoczynku jest następujące:
- Szyfrowanie danych w spoczynku przy użyciu kluczy zarządzanych przez klienta. Należy podać własny klucz do szyfrowania danych w stanie spoczynku. Możesz przenieść własne klucze do usługi Key Vault (BYOK — Bring Your Own Key) lub wygenerować nowe klucze w usłudze Azure Key Vault, aby zaszyfrować żądane zasoby.
- Szyfrowanie infrastruktury przy użyciu kluczy zarządzanych przez platformę. Domyślnie dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy szyfrowania zarządzanych przez platformę.
Dane w tranzycie
Podejście firmy Microsoft do włączania dwóch warstw szyfrowania danych przesyłanych jest następujące:
- Szyfrowanie tranzytowe przy użyciu protokołu Transport Layer Security (TLS) 1.2 w celu ochrony danych podczas podróży między usługami w chmurze a Użytkownikiem. Cały ruch opuszczający centrum danych jest szyfrowany podczas przesyłania, nawet jeśli ruch docelowy jest innym kontrolerem domeny w tym samym regionie. Protokół TLS 1.2 jest domyślnym używanym protokołem zabezpieczeń. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.
- Dodatkowa warstwa szyfrowania zapewniana w warstwie infrastruktury. Za każdym razem, gdy ruch klientów platformy Azure między centrami danych — poza granicami fizycznymi nie jest kontrolowany przez firmę Microsoft lub w imieniu firmy Microsoft — metoda szyfrowania warstwy łącza danych przy użyciu standardu zabezpieczeń IEEE 802.1AE MAC (znanego również jako MACsec) jest stosowana od punktu do punktu w podstawowym sprzęcie sieciowym. Pakiety są szyfrowane i odszyfrowywane na urządzeniach przed wysłaniem, uniemożliwiając fizyczne ataki typu "man-in-the-middle" lub szpiegowania/podsłuchywania. Ponieważ ta technologia jest zintegrowana z samym sprzętem sieciowym, zapewnia szyfrowanie szybkości wierszy na sprzęcie sieciowym bez mierzalnego opóźnienia łącza. To szyfrowanie MACsec jest domyślnie włączone dla całego ruchu platformy Azure podróżującego w regionie lub między regionami, a w części klienta nie jest wymagana żadna akcja.
Dalsze kroki
Dowiedz się, jak szyfrowanie jest używane na platformie Azure.