双重加密是指启用了两个或更多独立加密层,目的是在任一加密层遭到破坏的情况下提供保护。 使用两个加密层可减少加密数据带来的威胁。 例如: 。
- 数据加密中的配置错误
- 加密算法中的实现错误
- 单一加密密钥遭到泄露
Azure为静态数据和传输中的数据提供双重加密。
静态数据
Microsoft为静态数据启用两层加密的方法是:
- 使用客户管理的密钥进行静态加密。 你提供自己的密钥来静态加密数据。 可以将自己的密钥引入密钥保管库(BYOK - 自带密钥),或者在Azure 密钥保管库中生成新密钥以加密所需的资源。
- 使用平台管理的密钥进行基础结构加密。 默认情况下,使用平台管理的加密密钥自动对数据进行静态加密。
这两个层使用来自独立密钥层次结构的单独密钥,由不同的管理者管理——你控制服务级别密钥,而Azure控制基础结构级别密钥。
传输中的数据
Microsoft为传输中的数据启用两层加密的方法为:
- 使用传输层安全性 (TLS) 协议 1.2 进行传输加密,在云服务与你之间传输数据时对数据进行保护。 即使流量目标是同一区域中的另一个域控制器,仍会在传输过程中对离开数据中心的所有流量进行加密。 使用的默认安全协议是 TLS 1.2。 TLS 提供严格的身份验证,消息隐私性和完整性强(允许检测消息篡改、拦截和伪造),具有良好的互操作性,算法灵活,易于部署和使用。
- 在基础结构层提供的其他加密层。 每当 Azure 客户的流量在数据中心之间移动时(流量经过 Azure 不控制或不代替 Azure 控制的外部边界),就会通过底层网络硬件从点到点应用一套使用 IEEE 802.1AE MAC 安全标准(也称为 MACsec)的数据链路层加密方法。 数据包会在发送之前在设备上进行加密和解密,以防止物理上的“中间人”攻击或窥探/窃听攻击。 由于此技术在网络硬件本身上集成,因此它会在网络硬件上提供线路速率加密,而不会增加可度量的链路延迟。 默认情况下,此 MACsec 加密适用于在区域或区域之间行驶的所有Azure流量,并且客户无需执行任何操作即可启用。
后续步骤
了解 加密如何在 Azure 中使用。