Encriptação dupla

A dupla encriptação é onde duas ou mais camadas independentes de encriptação são ativadas para proteger contra compromissos de qualquer camada de encriptação. Usar duas camadas de encriptação atenua as ameaças que vêm com dados encriptadores. Por exemplo:

  • Erros de configuração na encriptação de dados
  • Erros de implementação no algoritmo de encriptação
  • Compromisso de uma única chave de encriptação

O Azure fornece uma dupla encriptação para dados em repouso e dados em trânsito.

Dados inativos

A abordagem da Microsoft para permitir duas camadas de encriptação para dados em repouso é:

  • Encriptação em repouso utilizando chaves geridas pelo cliente. Fornece a sua própria chave para encriptação de dados em repouso. Pode trazer as suas próprias chaves para o seu Key Vault (BYOK – Bring Your Own Key), ou gerar novas chaves em Azure Key Vault para encriptar os recursos pretendidos.
  • Encriptação de infraestrutura usando chaves geridas pela plataforma. Por predefinição, os dados são automaticamente encriptados em repouso utilizando chaves de encriptação geridas pela plataforma.

Dados em trânsito

A abordagem da Microsoft para permitir duas camadas de encriptação para dados em trânsito é:

  • Encriptação de trânsito usando Segurança da Camada de Transporte (TLS) 1.2 para proteger os dados quando está viajando entre os serviços na nuvem e você. Todo o tráfego que sai de um datacenter é encriptado em trânsito, mesmo que o destino de tráfego seja outro controlador de domínio na mesma região. TLS 1.2 é o protocolo de segurança predefinido utilizado. O TLS proporciona uma autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração de mensagens, interceção e falsificação), interoperabilidade, flexibilidade de algoritmos e facilidade de implantação e utilização.
  • Camada adicional de encriptação fornecida na camada de infraestrutura. Sempre que o tráfego de clientes Azure se move entre datacenters-- fora dos limites físicos não controlados por Microsoft ou em nome de Microsoft -- um método de encriptação da camada de ligação de dados utilizando as Normas de Segurança MAC IEEE 802.1AE (também conhecidas como MACsec) é aplicado de ponto a ponto em todo o hardware de rede subjacente. Os pacotes são encriptados e desencriptados nos dispositivos antes de serem enviados, evitando ataques físicos "homem-no-meio" ou ataques de espionagem/escutas telefónicas. Como esta tecnologia está integrada no próprio hardware de rede, fornece encriptação de taxa de linha no hardware de rede sem aumento de latência de ligação mensurável. Esta encriptação do MACsec está em padrão para todo o tráfego Azure que viaja dentro de uma região ou entre regiões, e não é necessária nenhuma ação por parte dos clientes para permitir.

Passos seguintes

Saiba como a encriptação é usada em Azure.