Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La doppia crittografia è la posizione in cui due o più livelli indipendenti di crittografia sono abilitati per proteggersi da compromissioni di un livello di crittografia. L'uso di due livelli di crittografia riduce le minacce fornite con la crittografia dei dati. Per esempio:
- Errori di configurazione nella crittografia dei dati
- Errori di implementazione nell'algoritmo di crittografia
- Compromissione di una singola chiave di crittografia
Azure offre la doppia crittografia per i dati inattivi e i dati in transito.
Dati statici
L'approccio di Microsoft per abilitare due livelli di crittografia per i dati inattivi è:
- Crittografia a riposo tramite chiavi gestite dal cliente. Fornisci la tua chiave per la crittografia dei dati a riposo. È possibile portare le proprie chiavi nel Key Vault (BYOK - Bring Your Own Key) o generare nuove chiavi in Azure Key Vault per crittografare le risorse desiderate.
- Crittografia dell'infrastruttura tramite chiavi gestite dalla piattaforma. Per impostazione predefinita, i dati vengono crittografati automaticamente a riposo utilizzando chiavi di crittografia gestite dalla piattaforma.
Dati in transito
L'approccio di Microsoft per abilitare due livelli di crittografia per i dati in transito è:
- Crittografia di transito tramite TLS (Transport Layer Security) 1.2 per proteggere i dati quando si spostano tra i servizi cloud e l'utente. Tutto il traffico che lascia un data center viene crittografato in transito, anche se la destinazione del traffico è un altro controller di dominio nella stessa area. TLS 1.2 è il protocollo di sicurezza predefinito usato. TLS offre autenticazione avanzata, privacy dei messaggi e integrità (consentendo il rilevamento di manomissioni, intercettazioni e falsificazione dei messaggi), interoperabilità, flessibilità degli algoritmi e facilità di distribuzione e uso.
- Livello aggiuntivo di crittografia fornito a livello di infrastruttura. Ogni volta che il traffico dei clienti di Azure si sposta tra data center, al di fuori dei limiti fisici non controllati da Microsoft o per conto di Microsoft, viene applicato un metodo di crittografia del livello di collegamento dati tramite gli standard di sicurezza IEEE 802.1AE MAC (noto anche come MACsec) dall'hardware di rete sottostante. I pacchetti vengono crittografati e decrittografati nei dispositivi prima di essere inviati, impedendo attacchi fisici di tipo "man-in-the-middle" o di spionaggio/intercettazioni. Poiché questa tecnologia è integrata nell'hardware di rete, fornisce la crittografia con la frequenza di linea nell'hardware di rete senza aumento misurabile della latenza del collegamento. Questa crittografia MACsec è attivata per impostazione predefinita per tutto il traffico di Azure che si sposta all'interno di un'area o tra aree e non è necessario alcun intervento da parte dei clienti’ per l'abilitazione.
Passaggi successivi
Informazioni sull'uso della crittografia in Azure.