双重加密

双重加密是指启用了两个或更多独立加密层,目的是在任一加密层遭到破坏的情况下提供保护。 使用两个加密层可减少加密数据带来的威胁。 例如: 。

  • 数据加密中的配置错误
  • 加密算法中的实现错误
  • 单一加密密钥遭到泄露

Azure 为静态数据和传输中的数据提供双重加密。

静态数据

Microsoft 针对静态数据启用双重加密的方法是:

  • 使用客户管理的密钥进行静态加密。 你提供自己的密钥来静态加密数据。 你可将自己的密钥带到 Key Vault 中(BYOK - 创建自己的密钥),也可在 Azure Key Vault 中生成新的密钥来加密所需资源。
  • 使用平台管理的密钥进行基础结构加密。 默认情况下,使用平台管理的加密密钥自动对数据进行静态加密。

传输中的数据

Microsoft 针对传输中的数据启用双重加密的方法是:

  • 使用传输层安全性 (TLS) 协议 1.2 进行传输加密,在云服务与你之间传输数据时对数据进行保护。 即使流量目标是同一区域中的另一个域控制器,仍会在传输过程中对离开数据中心的所有流量进行加密。 使用的默认安全协议是 TLS 1.2。 TLS 提供严格的身份验证,消息隐私性和完整性强(允许检测消息篡改、拦截和伪造),具有良好的互操作性,算法灵活,易于部署和使用。
  • 在基础结构层提供的其他加密层。 每当 Azure 客户流量在数据中心之间(在不受 Azure 或代表 Azure 的某方控制的物理边界之外)移动时,都会在底层网络硬件上点对点应用使用 IEEE 802.1AE MAC 安全标准(也称 MACsec)的数据链路层加密方法。 数据包会在发送之前在设备上进行加密和解密,以防止物理上的“中间人”攻击或窥探/窃听攻击。 由于此技术在网络硬件本身上集成,因此它会在网络硬件上提供线路速率加密,而不会增加可度量的链路延迟。 对于在区域内或区域之间传输的所有 Azure 流量,会默认启用此 MACsec 加密,客户无需执行任何操作。

后续步骤

了解如何在 Azure 中使用加密