Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Двойное шифрование заключается в том, что два или более независимых уровня шифрования включены для защиты от компрометации любого уровня шифрования. Использование двух уровней шифрования устраняет угрозы, поступающие с шифрованием данных. Рассмотрим пример.
- Ошибки конфигурации в шифровании данных
- Ошибки реализации в алгоритме шифрования
- Компрометация одного ключа шифрования
Azure обеспечивает двойное шифрование неактивных данных и передаваемых данных.
Данные в состоянии покоя
Подход Майкрософт к включению двух уровней шифрования для неактивных данных:
- Шифрование неактивных данных с помощью ключей, управляемых клиентом. Вы предоставляете собственный ключ для шифрования данных в состоянии покоя. Вы можете перенести собственные ключи в Хранилище ключей (BYOK — принести собственный ключ) или создать новые ключи в Azure Key Vault, чтобы зашифровать нужные ресурсы.
- Шифрование инфраструктуры с помощью ключей, управляемых платформой. По умолчанию данные автоматически шифруются с помощью ключей шифрования, управляемых платформой.
Данные в транзитном режиме
Подход Майкрософт к включению двух уровней шифрования для передаваемых данных:
- Шифрование транзита с помощью TLS 1.2 для защиты данных при перемещении между облачными службами и вами. Весь трафик, покидающий центр обработки данных, шифруется во время передачи, даже если назначение трафика является другим контроллером домена в одном регионе. TLS 1.2 — это протокол безопасности по умолчанию. TLS обеспечивает надежную проверку подлинности, конфиденциальность сообщений и их целостность (позволяет обнаруживать изменения сообщений, перехват и подделку), совместимость, гибкость алгоритма и простоту развертывания и использования.
- Дополнительный уровень шифрования, предоставляемый на уровне инфраструктуры. При каждом перемещении трафика клиента Azure между центрами обработки данных за пределами физических границ, не контролируемых корпорацией Майкрософт или от имени Корпорации Майкрософт, метод шифрования слоя связи с данными с использованием стандартов безопасности MAC IEEE 802.1AE ( также известных как MACsec) применяется от точки к точке через базовое сетевое оборудование. Пакеты шифруются и расшифровываются на устройствах перед отправкой, предотвращая физические атаки типа «человек посередине» или прослушивание/подслушивание. Так как эта технология интегрирована в само сетевое оборудование, она обеспечивает шифрование со скоростью передачи данных на сетевом оборудовании без заметного увеличения задержки связи. Шифрование MACsec включено по умолчанию для всего трафика Azure, передаваемого в пределах региона или между регионами. Для его включения никаких действий со стороны клиентов не требуется.
Дальнейшие шаги
Узнайте, как используется шифрование в Azure.