双重加密是启用两个或更多独立加密层,以防止任何一层加密的泄露。 使用两层加密可缓解加密数据带来的威胁。 例如:
- 数据加密中的配置错误
- 加密算法中的实现错误
- 泄露单个加密密钥
Azure 为静态数据和传输中的数据提供双重加密。
静止的数据
Microsoft为静态数据启用两层加密的方法包括:
- 使用客户管理的密钥进行静态加密。 你提供自己的密钥来静态加密数据。 可以将自己的密钥引入 Key Vault(BYOK – 自带密钥),或者在 Azure Key Vault 中生成新密钥以加密所需的资源。
- 使用平台管理的密钥进行基础结构加密。 默认情况下,使用平台管理的加密密钥自动对静态数据进行加密。
传输中的数据
Microsoft为传输中的数据启用两层加密的方法为:
- 使用传输层安全性 (TLS) 1.2 传输加密来保护在云服务和你之间传输的数据。 离开数据中心的所有流量都会在传输中加密,即使流量目标是同一区域中的另一个域控制器。 TLS 1.2 是使用的默认安全协议。 TLS 提供强大的身份验证、消息隐私和完整性(允许检测消息篡改、拦截和伪造)、互作性、算法灵活性以及部署和使用方便。
- 在基础设施层提供的额外加密层。 每当 Azure 客户流量在数据中心之间(在不受 Microsoft 或代表 Microsoft 的某方控制的物理边界之外)移动时,都会在底层网络硬件上点对点应用使用 IEEE 802.1AE MAC 安全标准(也称 MACsec)的数据链路层加密方法。 数据包在发送之前在设备上进行加密和解密,防止物理“中间人”或窃听/窃听攻击。 由于此技术在网络硬件本身上集成,因此它会在网络硬件上提供线路速率加密,而不会增加可度量的链路延迟。 对于在区域内或区域之间传输的所有 Azure 流量,会默认启用此 MACsec 加密,客户无需执行任何操作。
后续步骤
了解如何 在 Azure 中使用加密。