Çift şifreleme

  • Makale

Çift şifreleme, herhangi bir şifreleme katmanının tehlikeye atılmasına karşı koruma sağlamak için iki veya daha fazla bağımsız şifreleme katmanının etkinleştirildiği yerdir. İki şifreleme katmanının kullanılması, şifreleme verileriyle birlikte gelen tehditleri azaltır. Örnek:

  • Veri şifrelemesindeki yapılandırma hataları
  • Şifreleme algoritmasında uygulama hataları
  • Tek bir şifreleme anahtarının güvenliğinin aşılmasına neden olur

Azure bekleyen veriler ve aktarımdaki veriler için çift şifreleme sağlar.

Bekleme durumundaki veriler

Microsoft'un bekleyen veriler için iki şifreleme katmanını etkinleştirme yaklaşımı şu şekildedir:

  • Müşteri tarafından yönetilen anahtarları kullanarak bekleyen şifreleme. Bekleyen veri şifrelemesi için kendi anahtarınızı sağlarsınız. İstediğiniz kaynakları şifrelemek için kendi anahtarlarınızı Key Vault (BYOK – Kendi Anahtarını Getir) getirebilir veya Azure Key Vault'da yeni anahtarlar oluşturabilirsiniz.
  • Platform tarafından yönetilen anahtarları kullanarak altyapı şifrelemesi. Varsayılan olarak, bekleyen veriler platform tarafından yönetilen şifreleme anahtarları kullanılarak otomatik olarak şifrelenir.

Aktarım durumundaki veriler

Microsoft'un aktarımdaki veriler için iki şifreleme katmanını etkinleştirme yaklaşımı şu şekildedir:

  • Aktarım Katmanı Güvenliği (TLS) 1.2 kullanarak aktarım şifrelemesi, bulut hizmetleriyle sizin arasında seyahat ederken verileri korur. Bir veri merkezinden ayrılan tüm trafik, trafik hedefi aynı bölgedeki başka bir etki alanı denetleyicisi olsa bile aktarım sırasında şifrelenir. TLS 1.2, kullanılan varsayılan güvenlik protokolüdür. TLS güçlü kimlik doğrulaması, ileti gizliliği ve bütünlük (ileti üzerinde değişiklik, kesme ve sahtecilik algılamayı etkinleştirme), birlikte çalışabilirlik, algoritma esnekliği ve dağıtım ve kullanım kolaylığı sağlar.
  • Altyapı katmanında sağlanan ek şifreleme katmanı. Azure müşteri trafiği, Microsoft tarafından denetlenmeyen fiziksel sınırların dışında veya Microsoft adına veri merkezleri arasında hareket ettiği her durumda, temel alınan ağ donanımında noktadan noktaya IEEE 802.1AE MAC Güvenlik Standartları (MACsec olarak da bilinir) kullanan bir veri bağlantısı katmanı şifreleme yöntemi uygulanır. Paketler gönderilmeden önce cihazlarda şifrelenir ve şifreleri çözülür, böylece fiziksel "ortadaki adam" veya gözetleme/dinleme saldırıları engellenir. Bu teknoloji ağ donanımının kendisine entegre olduğundan, ağ donanımında ölçülebilir bağlantı gecikme süresi artışı olmadan hat hızı şifrelemesi sağlar. Bu MACsec şifrelemesi, bir bölge içinde veya bölgeler arasında seyahat eden tüm Azure trafiği için varsayılan olarak açıktır ve müşterilerin etkinleştirmesi için herhangi bir işlem yapılması gerekmez.

Sonraki adımlar

Azure'da şifrelemenin nasıl kullanıldığını öğrenin.