雙重加密是啟用兩個以上的獨立加密層,以防止任何一層加密遭到入侵。 使用兩層加密可降低加密數據隨附的威脅。 例如:
- 數據加密中的設定錯誤
- 加密演算法中的實作錯誤
- 單一加密金鑰被揭露
Azure 為待用數據和傳輸中的數據提供雙重加密。
待用資料
Microsoft為靜態數據啟用兩層加密的方法如下:
- 使用客戶管理的金鑰進行靜態加密。 您為靜態資料加密提供您自己的金鑰。 您可以將自己的金鑰帶入 Key Vault(BYOK – 攜帶您自己的金鑰),或在 Azure Key Vault 中產生新的金鑰,以加密所需的資源。
- 使用平臺管理的金鑰進行基礎結構加密。 根據預設,數據會自動使用平台管理的加密密鑰進行靜態加密。
傳輸中的數據
Microsoft啟用傳輸中數據的兩層加密的方法如下:
- 使用傳輸層安全性 (TLS) 1.2 傳輸加密來保護在雲端服務與您之間移動時的數據。 離開數據中心的所有流量都會在傳輸中加密,即使流量目的地是相同區域中的另一個域控制器也一樣。 TLS 1.2 是使用的預設安全性通訊協定。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及輕鬆部署和使用。
- 在基礎結構層提供的額外加密層。 每當 Azure 客戶的流量在資料中心之間移動時,並且越過不受 Microsoft 或 Microsoft 代理人控制的物理界限時,將使用 IEEE 802.1AE MAC 安全性標準(也稱為 MACsec)的數據鏈路層加密方法在基礎網路硬體上從點對點套用。 封包會在傳送前先在裝置上加密和解密,以防止實體「中間人」或窺探/竊訊攻擊。 由於這項技術已整合到網路硬體本身上,因此會在網路硬體上提供線路速率加密,且不會增加可測量的連結延遲。 根據預設,此 MACsec 加密會在區域內或區域之間移動的所有 Azure 流量開啟,而且客戶不需要採取任何動作才能啟用。
後續步驟
瞭解如何 在 Azure 中使用加密。