Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A criptografia dupla é quando duas ou mais camadas independentes de criptografia são habilitadas para proteger contra comprometimentos de qualquer camada de criptografia. O uso de duas camadas de criptografia atenua as ameaças que vêm com a criptografia de dados. Por exemplo:
- Erros de configuração na criptografia de dados
- Erros de implementação no algoritmo de encriptação
- Comprometimento de uma única chave de criptografia
O Azure fornece criptografia dupla para dados em repouso e dados em trânsito.
Dados em repouso
A abordagem da Microsoft para habilitar duas camadas de criptografia para dados em repouso é:
- Criptografia em repouso usando chaves gerenciadas pelo cliente. Você fornece sua própria chave para criptografia de dados em repouso. Pode trazer as suas próprias chaves para o Cofre da Chave (BYOK – Bring Your Own Key) ou gerar novas chaves no Cofre da Chave do Azure para encriptar os recursos pretendidos.
- Criptografia de infraestrutura usando chaves gerenciadas pela plataforma. Por padrão, os dados são automaticamente criptografados em repouso usando chaves de criptografia gerenciadas pela plataforma.
Dados em trânsito
A abordagem da Microsoft para habilitar duas camadas de criptografia para dados em trânsito é:
- Criptografia de trânsito usando Transport Layer Security (TLS) 1.2 para proteger os dados quando eles estão viajando entre os serviços de nuvem e você. Todo o tráfego que sai de um datacenter é criptografado em trânsito, mesmo que o destino do tráfego seja outro controlador de domínio na mesma região. TLS 1.2 é o protocolo de segurança padrão usado. O TLS fornece autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
- Camada adicional de criptografia fornecida na camada de infraestrutura. Sempre que o tráfego de clientes do Azure se move entre datacenters, fora dos limites físicos não controlados pela Microsoft ou em nome da Microsoft, um método de criptografia de camada de link de dados usando os Padrões de Segurança MAC IEEE 802.1AE (também conhecido como MACsec) é aplicado ponto a ponto em todo o hardware de rede subjacente. Os pacotes são encriptados e desencriptados nos dispositivos antes de serem enviados, evitando ataques físicos "man-in-the-middle" ou espionagem/escutas. Como essa tecnologia é integrada no próprio hardware de rede, ela fornece criptografia de taxa de linha no hardware de rede sem aumento mensurável de latência de link. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões, e nenhuma ação é necessária por parte dos clientes para habilitar.
Próximos passos
Saiba como a criptografia é usada no Azure.