Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A criptografia dupla consiste em duas ou mais camadas independentes de criptografia que são habilitadas para proteger contra comprometimentos de qualquer camada de criptografia. O uso de duas camadas de criptografia reduz as ameaças que vêm com a criptografia de dados. Por exemplo:
- Erros de configuração na criptografia de dados
- Erros de implementação no algoritmo de criptografia
- Comprometimento de uma única chave de criptografia
O Azure fornece criptografia dupla para dados em repouso e dados em trânsito.
Dados em repouso
A abordagem da Microsoft para habilitar duas camadas de criptografia para dados em repouso é:
- Criptografia em repouso usando chaves gerenciadas pelo cliente. Você pode fornecer sua própria chave para a criptografia de dados. Você pode trazer suas próprias chaves para seu Key Vault (BYOK – Traga sua própria chave) ou gerar novas chaves no Azure Key Vault para criptografar os recursos desejados.
- Criptografia de infraestrutura usando chaves gerenciadas pela plataforma. Por padrão, os dados são criptografados automaticamente em repouso usando chaves de criptografia gerenciadas pela plataforma.
Dados em trânsito
A abordagem da Microsoft para habilitar duas camadas de criptografia para dados em trânsito é:
- Criptografia de trânsito usando TLS (Segurança de Camada de Transporte) 1.2 para proteger dados em movimento entre os serviços de nuvem e seu local. Todo o tráfego saindo de um datacenter é criptografado em trânsito, mesmo que o destino de tráfego seja outro controlador de domínio na mesma região. O TLS 1.2 é o protocolo de segurança padrão usado. O TLS fornece autenticação forte, privacidade de mensagens e integridade (habilitando a detecção de violação de mensagens, interceptação e falsificação), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
- Camada adicional de criptografia fornecida na camada de infraestrutura. Sempre que o tráfego do cliente do Azure se move entre datacenters, fora dos limites físicos não controlados pela Microsoft ou em nome da Microsoft, um método de criptografia de camada de vínculo de dados usando os Padrões de Segurança mac do IEEE 802.1AE (também conhecidos como MACsec) é aplicado de ponto a ponto no hardware de rede subjacente. Os pacotes são criptografados e descriptografados nos dispositivos antes de serem enviados, impedindo ataques físicos de "homem no meio" ou espionagem/escuta telefônica. Como essa tecnologia é integrada ao próprio hardware de rede, ela realiza criptografia de taxa de linha no hardware de rede sem aumento de latência de link mensurável. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões, e nenhuma ação é necessária na parte dos clientes para habilitar.
Próximas etapas
Saiba como a criptografia é usada no Azure.