Criptografia dupla
A criptografia dupla habilita duas ou mais camadas independentes de criptografia para proteger contra comprometimentos de qualquer camada. O uso de duas camadas de criptografia reduz as ameaças advindas da criptografia de dados. Por exemplo:
- Erros de configuração na criptografia de dados
- Erros de implementação no algoritmo de criptografia
- Comprometimento de uma única chave de criptografia
O Azure realiza criptografia dupla de dados inativos e em trânsito.
Dados em repouso
A abordagem da Microsoft para habilitar duas camadas de criptografia para dados inativos é:
- Criptografia em repouso usando chaves gerenciadas pelo cliente. Você pode fornecer sua própria chave para a criptografia de dados. Você pode trazer suas chaves para o Key Vault (BYOK – Bring Your Own Key) ou gerar novas chaves no Azure Key Vault para criptografar os recursos desejados.
- Criptografia de infraestrutura usando chaves gerenciadas por plataforma. Por padrão, os discos são criptografados automaticamente em repouso usando chaves de criptografia gerenciadas pela plataforma.
Dados em trânsito
A abordagem da Microsoft para habilitar duas camadas de criptografia para dados em repouso é:
- Criptografia de trânsito usando TLS (Segurança de Camada de Transporte) 1.2 para proteger dados em movimento entre os serviços de nuvem e seu local. Todo o tráfego que sai de um datacenter é criptografado em trânsito, mesmo se o destino do tráfego for outro controlador de domínio na mesma região. O TLS 1.2 é o protocolo de segurança padrão usado. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de adulteração, interceptação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
- Camada adicional de criptografia incluída na camada de infraestrutura. Sempre que o tráfego do cliente do Azure se move entre data centers, fora dos limites físicos não controlados pela Microsoft (ou em nome da Microsoft), um método de criptografia de camada de link de dados usando os Padrões de Segurança MAC IEEE 802.1AE (também conhecido como MACsec) é aplicado de ponto a ponto em todo o hardware de rede subjacente. Os pacotes são criptografados e descriptografados nos dispositivos antes de serem enviados, impedindo ataques físicos "man-in-the-middle" ou de espionagem/grampeamento. Como essa tecnologia é integrada ao próprio hardware de rede, ela realiza criptografia de taxa de linha no hardware de rede sem aumento de latência de link mensurável. Essa criptografia MACsec está ativada por padrão para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões, e nenhuma ação é necessária na parte dos clientes para habilitar.
Próximas etapas
Saiba como a criptografia é usada no Azure.