Crittografia doppia
La doppia crittografia prevede due o più livelli indipendenti di crittografia, abilitati per proteggere dalla compromissione di qualsiasi livello di crittografia. L'uso di due livelli di crittografia consente di mitigare le minacce legate alla crittografia dei dati. Ad esempio:
- Errori di configurazione nella crittografia dei dati
- Errori di implementazione nell'algoritmo di crittografia
- Compromissione di una singola chiave di crittografia
Azure offre una doppia crittografia per i dati inattivi e i dati in transito.
Dati inattivi
L'approccio di Microsoft per abilitare due livelli di crittografia per i dati inattivi è:
- Crittografia dei dati inattivi tramite chiavi gestite dal cliente. Fornire la propria chiave per la crittografia dei dati inattivi. È possibile portare le proprie chiavi nel Key Vault (BYOK - Bring Your Own Key) o generare nuove chiavi in Azure Key Vault per crittografare le risorse desiderate.
- Crittografia dell'infrastruttura tramite chiavi gestite dalla piattaforma. Per impostazione predefinita, i dati vengono crittografati automaticamente inattivi usando chiavi di crittografia gestite dalla piattaforma.
Dati in transito
L'approccio di Microsoft per abilitare due livelli di crittografia per i dati in transito è:
- Crittografia del transito tramite TLS (Transport Layer Security) 1.2 per proteggere i dati quando si spostano tra i servizi cloud e l'utente. Tutto il traffico che lascia un data center viene crittografato in transito, anche se la destinazione del traffico è un altro controller di dominio nella stessa area. TLS 1.2 è il protocollo di sicurezza predefinito usato. Il protocollo TLS offre autenticazione avanzata, riservatezza dei messaggi e integrità (abilitando il rilevamento di manomissioni, intercettazioni e falsificazioni di messaggi), interoperabilità, flessibilità degli algoritmi e facilità di distribuzione e di utilizzo.
- Livello aggiuntivo di crittografia fornito a livello di infrastruttura. Ogni volta che il traffico dei clienti di Azure si sposta tra data center, all'esterno dei limiti fisici non controllati da Microsoft o per conto di Microsoft, viene applicato un metodo di crittografia del livello di collegamento dati tramite gli standard di sicurezza MAC IEEE 802.1AE (noto anche come MACsec) da punto a punto nell'hardware di rete sottostante. I pacchetti vengono crittografati e decrittografati nei dispositivi prima dell'invio, impedendo attacchi fisici "man-in-the-middle" o snooping/wiretapping. Poiché questa tecnologia è integrata nell'hardware di rete, fornisce la crittografia con la frequenza di linea nell'hardware di rete senza aumento misurabile della latenza del collegamento. Questa crittografia MACsec è attivata per impostazione predefinita per tutto il traffico di Azure che viaggia all'interno di un'area o tra aree e non è necessaria alcuna azione nella parte dei clienti per abilitare.
Passaggi successivi
Informazioni sull'uso della crittografia in Azure.