Dubbel kryptering

  • Artikel

Dubbel kryptering är där två eller flera oberoende krypteringslager är aktiverade för att skydda mot intrång i ett krypteringslager. Om du använder två krypteringslager minimeras hot som kommer med kryptering av data. Exempel:

  • Konfigurationsfel i datakrypteringen
  • Implementeringsfel i krypteringsalgoritmen
  • Kompromettera en enda krypteringsnyckel

Azure tillhandahåller dubbel kryptering för vilande data och data under överföring.

Vilande data

Microsofts metod för att aktivera två krypteringslager för vilande data är:

  • Kryptering i vila med kundhanterade nycklar. Du anger en egen nyckel för vilande datakryptering. Du kan ta med dina egna nycklar till din Key Vault (BYOK – Bring Your Own Key) eller generera nya nycklar i Azure Key Vault för att kryptera önskade resurser.
  • Infrastrukturkryptering med plattformshanterade nycklar. Som standard krypteras data automatiskt i vila med hjälp av plattformshanterade krypteringsnycklar.

Data under överföring

Microsofts metod för att aktivera två krypteringslager för data under överföring är:

  • Transitkryptering med TLS (Transport Layer Security) 1.2 för att skydda data när de färdas mellan molntjänsterna och dig. All trafik som lämnar ett datacenter krypteras under överföring, även om trafikmålet är en annan domänkontrollant i samma region. TLS 1.2 är standardsäkerhetsprotokollet som används. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av meddelandemanipulering, avlyssning och förfalskning), interoperabilitet, algoritmflexibilitet och enkel distribution och användning.
  • Ytterligare krypteringslager som tillhandahålls på infrastrukturlagret. När Azure-kundtrafik flyttas mellan datacenter – utanför fysiska gränser som inte styrs av Microsoft eller på uppdrag av Microsoft – tillämpas en krypteringsmetod för datalänklager med IEEE 802.1AE MAC-säkerhetsstandarder (även kallat MACsec) från punkt till punkt i den underliggande nätverksmaskinvaran. Paketen krypteras och dekrypteras på enheterna innan de skickas, vilket förhindrar fysiska "man-in-the-middle" eller snokande/avlyssningsattacker. Eftersom den här tekniken är integrerad i själva nätverksmaskinvaran ger den kryptering med linjehastighet på nätverksmaskinvaran utan någon mätbar länkfördröjningsökning. Den här MACsec-krypteringen är aktiverad som standard för all Azure-trafik som färdas inom en region eller mellan regioner, och ingen åtgärd krävs från kundernas sida för att aktivera.

Nästa steg

Lär dig hur kryptering används i Azure.