Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Dubbel kryptering är där två eller flera oberoende krypteringslager är aktiverade för att skydda mot intrång i ett enda krypteringslager. Genom att använda två krypteringslager minimeras hot som kommer med kryptering av data. Till exempel:
- Konfigurationsfel i datakrypteringen
- Implementeringsfel i krypteringsalgoritmen
- Kompromettera en enda krypteringsnyckel
Azure tillhandahåller dubbel kryptering för vilande data och data under överföring.
Data i vila
Microsofts metod för att aktivera två krypteringslager för vilande data är:
- Kryptering i vila med kundhanterade nycklar. Du anger en egen nyckel för datakryptering i vila. Du kan ta med dina egna nycklar till ditt Key Vault (BYOK – Bring Your Own Key) eller generera nya nycklar i Azure Key Vault för att kryptera önskade resurser.
- Infrastrukturkryptering med plattformshanterade nycklar. Som standard krypteras data automatiskt i vila med hjälp av plattformshanterade krypteringsnycklar.
Data på väg
Microsofts metod för att aktivera två krypteringslager för data under överföring är:
- Överföringskryptering med TLS 1.2 (Transport Layer Security) för att skydda data när de färdas mellan molntjänsterna och dig. All trafik som lämnar ett datacenter krypteras under överföring, även om trafikmålet är en annan domänkontrollant i samma region. TLS 1.2 är standardsäkerhetsprotokollet som används. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av manipulering, avlyssning och förfalskning), samverkan, algoritmflexibilitet och enkel distribution och användning.
- Ytterligare krypteringslager som tillhandahålls på infrastrukturlagret. När Azure-kundtrafik flyttas mellan datacenter – utanför fysiska gränser som inte styrs av Microsoft eller på uppdrag av Microsoft – tillämpas en datalänkskiktskrypteringsmetod med IEEE 802.1AE MAC Security Standards (även kallat MACsec) från punkt till punkt över den underliggande nätverksmaskinvaran. Paketen krypteras och dekrypteras på enheterna innan de skickas, vilket förhindrar fysiska "man-in-the-middle" eller snokande/avlyssningsattacker. Eftersom den här tekniken är integrerad i själva nätverksmaskinvaran ger den kryptering med linjefrekvens på nätverksmaskinvaran utan någon mätbar länkfördröjningsökning. Den här MACsec-krypteringen är aktiverad som standard för all Azure-trafik som färdas inom en region eller mellan regioner, och ingen åtgärd krävs från kundernas sida för att aktivera.
Nästa steg
Lär dig hur kryptering används i Azure.