雙重加密
雙重加密是指啟用兩個以上的獨立加密層,以防範任何一個加密層遭到入侵。 使用兩層加密可減輕資料加密伴隨而來的威脅。 例如:
- 資料加密中的設定錯誤
- 加密演算法中的實作錯誤
- 單一加密金鑰遭到入侵
Azure 支援待用資料和傳輸中資料的雙重加密。
待用資料
Microsoft 針對待用資料啟用兩層加密的方式為:
- 使用客戶自控金鑰進行待用加密。 您可以提供自己的金鑰進行資料待用加密。 您可以將自己的金鑰帶入金鑰保存庫 (BYOK – 攜帶您自己的金鑰),或在 Azure Key Vault 中產生新的金鑰,以加密所需的資源。
- 使用平台代控金鑰進行基礎結構加密。 根據預設,會使用平台代控加密金鑰自動對資料進行待用加密。
傳輸中資料
Microsoft 針對傳輸中資料啟用兩層加密的方式為:
- 在雲端服務與您之間移動資料時,使用傳輸層安全性 (TLS) 1.2 來傳輸加密,以保護資料。 所有離開資料中心的流量都會進行傳輸中加密,即使流量目的地是相同區域中的另一個網域控制站也是一樣。 TLS 1.2 是使用的預設安全性通訊協定。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及輕鬆部署和使用。
- 基礎結構層提供的額外加密層。 每當 Azure 客戶流量在資料中心之間移動時 (Microsoft 或代表 Microsoft 所控制的實體界限外),即使用 IEEE 802.1AE MAC 安全性標準 (也稱為 MACsec) 的資料連結層加密方法,會從基礎網路硬體的點對點套用。 封包會在傳送之前先進行加密和解密,以防止實體「攔截式」攻擊或窺探/竊聽攻擊。 此技術整合到網路硬體本身,在網路硬體上提供線路速率加密,連結延遲不會明顯增加。 根據預設,此 MACsec 加密會針對區域內或區域之間移動的所有 Azure 流量開啟,而且客戶部分不需要採取任何動作即可啟用。
下一步
深入了解如何在 Azure 中使用加密。