Encriptação dupla
A encriptação dupla é onde duas ou mais camadas independentes de encriptação estão ativadas para proteger contra compromissos de qualquer camada de encriptação. A utilização de duas camadas de encriptação mitiga ameaças fornecidas com a encriptação de dados. Por exemplo:
- Erros de configuração na encriptação de dados
- Erros de implementação no algoritmo de encriptação
- Comprometimento de uma única chave de encriptação
O Azure fornece encriptação dupla para dados inativos e dados em trânsito.
Dados inativos
A abordagem da Microsoft para ativar duas camadas de encriptação para dados inativos é:
- Encriptação inativa com chaves geridas pelo cliente. Fornece a sua própria chave para encriptação de dados inativos. Pode trazer as suas próprias chaves para o seu Key Vault (BYOK – Bring Your Own Key) ou gerar novas chaves no Azure Key Vault para encriptar os recursos pretendidos.
- Encriptação de infraestrutura com chaves geridas pela plataforma. Por predefinição, os dados são automaticamente encriptados inativos através de chaves de encriptação geridas pela plataforma.
Dados em trânsito
A abordagem da Microsoft para ativar duas camadas de encriptação para dados em trânsito é:
- Encriptação de trânsito com o Transport Layer Security (TLS) 1.2 para proteger os dados quando viajam entre os serviços cloud e o utilizador. Todo o tráfego que sai de um datacenter é encriptado em trânsito, mesmo que o destino do tráfego seja outro controlador de domínio na mesma região. O TLS 1.2 é o protocolo de segurança predefinido utilizado. O TLS fornece autenticação forte, privacidade e integridade de mensagens (ativando a deteção de adulteração de mensagens, intercepção e falsificação), interoperabilidade, flexibilidade de algoritmos e facilidade de implementação e utilização.
- Camada adicional de encriptação fornecida na camada de infraestrutura. Sempre que o tráfego do cliente do Azure se move entre datacenters, fora dos limites físicos não controlados pela Microsoft ou em nome da Microsoft, é aplicado um método de encriptação de camada de ligação de dados através das Normas de Segurança MAC IEEE 802.1AE (também conhecidas como MACsec) de ponto a ponto no hardware de rede subjacente. Os pacotes são encriptados e desencriptados nos dispositivos antes de serem enviados, impedindo ataques físicos de "man-in-the-middle" ou snooping/escutas telefónicas. Uma vez que esta tecnologia está integrada no próprio hardware de rede, fornece encriptação de taxa de linha no hardware de rede sem aumento de latência de ligação mensurável. Esta encriptação MACsec está ativada por predefinição para todo o tráfego do Azure que viaja dentro de uma região ou entre regiões e não é necessária qualquer ação por parte dos clientes para ativar.
Passos seguintes
Saiba como a encriptação é utilizada no Azure.