雙重加密

雙重加密是啟用兩個以上獨立加密層,以防禦任何加密層遭到入侵。 使用兩層加密可降低加密資料所隨附的威脅。 例如:

  • 資料加密中的設定錯誤
  • 加密演算法中的實作錯誤
  • 單一加密金鑰遭到入侵

Azure 為待用資料和傳輸中資料提供雙重加密。

待用資料

Microsoft 針對待用資料啟用兩層加密的方式為:

  • 使用客戶自控金鑰進行待用加密。 您可以提供自己的金鑰進行資料待用加密。 您可以將自己的金鑰帶入金鑰保存庫 (BYOK – 攜帶您自己的金鑰),或在 Azure Key Vault 中產生新的金鑰,以加密所需的資源。
  • 使用平台代控金鑰進行基礎結構加密。 根據預設,會使用平台代控加密金鑰自動對資料進行待用加密。

資料傳輸中

Microsoft 針對傳輸中資料啟用兩層加密的方式為:

  • 在雲端服務與您之間移動資料時,使用傳輸層安全性 (TLS) 1.2 來傳輸加密,以保護資料。 所有離開資料中心的流量都會進行傳輸中加密,即使流量目的地是相同區域中的另一個網域控制站也是一樣。 TLS 1.2 是使用的預設安全性通訊協定。 TLS 提供增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及方便部署和使用。
  • 基礎結構層提供的額外加密層。 每當 Azure 客戶流量在資料中心之間移動時 (Microsoft 或代表 Microsoft 所控制的實體界限外),即使用 IEEE 802.1AE MAC 安全性標準 (也稱為 MACsec) 的資料連結層加密方法,會從基礎網路硬體的點對點套用。 封包會在傳送之前先進行加密和解密,以防止實體「攔截式」攻擊或窺探/竊聽攻擊。 因為此技術已整合至網路硬體本身,所以會在網路硬體上提供線路速率加密,且不會增加可測量的連結延遲。 根據預設,此 MACsec 加密會針對區域內或區域之間移動的所有 Azure 流量開啟,而且客戶部分不需要採取任何動作即可啟用。

下一步

深入了解如何在 Azure 中使用加密