Chiffrement du Stockage Azure pour les données au reposAzure Storage encryption for data at rest

Stockage Azure chiffre automatiquement vos données lors de leur conservation dans le cloud.Azure Storage automatically encrypts your data when it is persisted to the cloud. Le chiffrement de Stockage Azure protège vos données et vous aide à répondre aux engagements de votre entreprise en matière de sécurité et de conformité.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

À propos du chiffrement de Stockage AzureAbout Azure Storage encryption

Les données dans Stockage Azure sont chiffrées et déchiffrées en toute transparence à l’aide du chiffrement AES 256 bits, un des chiffrements par blocs les plus puissants actuellement disponibles, et sont conformes à la norme FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Le chiffrement du Stockage Azure est similaire au chiffrement BitLocker sur Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Le chiffrement de Stockage Azure est activé pour tous les comptes de stockage, y compris les comptes de stockage classiques et Resource Manager.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. Le chiffrement de Stockage Azure ne peut pas être désactivé.Azure Storage encryption cannot be disabled. Étant donné que vos données sont sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement du Stockage Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Les données d’un compte de stockage sont chiffrées, quel que soit le niveau de performance (Standard ou Premium), le niveau d’accès (chaud ou froid) ou le modèle de déploiement (Azure Resource Manager ou Classique).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Tous les objets blob du niveau Archive sont également chiffrés.All blobs in the archive tier are also encrypted. Toutes les options de redondance de Stockage Azure prennent en charge le chiffrement, et toutes les données dans les régions primaire et secondaire sont chiffrées quand la géoréplication est activée.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Toutes les ressources de Stockage Azure sont chiffrées, y compris les objets blob, disques, fichiers, files d’attente et tables.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Toutes les métadonnées d’objet sont également chiffrées.All object metadata is also encrypted. Le chiffrement de Stockage Azure n’implique aucun coût supplémentaire.There is no additional cost for Azure Storage encryption.

Chaque objet blob de blocs, objet blob d’ajout ou objet blob de pages qui a été écrit dans le Stockage Azure après le 20 octobre 2017 est chiffré.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. Les objets blob créés avant cette date continuent à être chiffrés à l’aide d’un processus en arrière-plan.Blobs created prior to this date continue to be encrypted by a background process. Pour forcer le chiffrement d’un objet blob qui a été créé avant le 20 octobre 2017, vous pouvez réécrire l’objet.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Pour savoir comment vérifier l’état de chiffrement d’un objet blob, consultez Vérifier l’état de chiffrement d’un objet blob.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Pour plus d’informations sur les modules cryptographiques de chiffrement de Stockage Azure, consultez API de chiffrement : nouvelle génération.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Pour plus d’informations sur le chiffrement et la gestion des clés pour les disques managés Azure, consultez Chiffrement côté serveur de disques managés Azure pour les machines virtuelles Windows ou Chiffrement côté serveur de disques managés Azure pour les machines virtuelles Linux.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

À propos de la gestion des clés de chiffrementAbout encryption key management

Par défaut, les données d'un nouveau compte de stockage sont chiffrées à l'aide de clés managées par Microsoft.Data in a new storage account is encrypted with Microsoft-managed keys by default. Vous pouvez continuer à vous reposer sur les clés managées par Microsoft pour le chiffrement des vos données, ou vous pouvez gérer le chiffrement avec vos propres clés.You can continue to rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Si vous choisissez de gérer le chiffrement avec vos propres clés, deux options s’offrent à vous.If you choose to manage encryption with your own keys, you have two options. Vous pouvez utiliser l'un ou l'autre type de gestion des clés, ou les deux :You can use either type of key management, or both:

  • Vous pouvez spécifier une clé gérée par le client à utiliser pour le chiffrement et le déchiffrement des données dans le stockage d’objets blob et dans Azure Files. 1, 2 clés gérées par le client doivent être stockées dans Azure Key Vault ou le modèle de sécurité matérielle (HSM) Azure Key Vault géré (préversion).You can specify a customer-managed key to use for encrypting and decrypting data in Blob storage and in Azure Files.1,2 Customer-managed keys must be stored in Azure Key Vault or Azure Key Vault Managed Hardware Security Model (HSM) (preview). Pour plus d’informations sur les clés gérées par le client, consultez Utiliser des clés gérées par le client pour gérer le chiffrement du stockage Azure.For more information about customer-managed keys, see Use customer-managed keys for Azure Storage encryption.
  • Vous pouvez spécifier une clé fournie par le client sur les opérations de stockage Blob.You can specify a customer-provided key on Blob storage operations. Un client qui effectue une requête de lecture ou d’écriture sur le stockage Blob peut inclure une clé de chiffrement dans la requête afin de contrôler la précision avec laquelle les données blob sont chiffrées et déchiffrées.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted. Pour plus d’informations sur les clés fournies par le client, consultez Fournir une clé de chiffrement lors d’une requête au stockage d’objets blob.For more information about customer-provided keys, see Provide an encryption key on a request to Blob storage.

Le tableau suivant compare les options de gestion de clés pour le chiffrement de Stockage Azure.The following table compares key management options for Azure Storage encryption.

Paramètre de gestion des clésKey management parameter Clés managées par MicrosoftMicrosoft-managed keys Clés gérées par le clientCustomer-managed keys Clés fournies par le clientCustomer-provided keys
Opérations de chiffrement/déchiffrementEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Services de stockage Azure pris en chargeAzure Storage services supported TousAll Stockage Blob, Azure Files1,2Blob storage, Azure Files1,2 Stockage d'objets blobBlob storage
Stockage des clésKey storage Magasin de clés MicrosoftMicrosoft key store Azure Key Vault ou HSM Key VaultAzure Key Vault or Key Vault HSM Magasin de clés du clientCustomer's own key store
Responsabilité de la permutation des clésKey rotation responsibility MicrosoftMicrosoft CustomerCustomer CustomerCustomer
Contrôle des clésKey control MicrosoftMicrosoft CustomerCustomer CustomerCustomer

1 Pour plus d’informations sur la création d’un compte qui prend en charge l’utilisation de clés gérées par le client avec Stockage File d’attente, consultez Créer un compte qui prend en charge les clés gérées par le client pour les files d’attente.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 Pour plus d’informations sur la création d’un compte qui prend en charge l’utilisation de clés gérées par le client avec Stockage Table, consultez Créer un compte qui prend en charge les clés gérées par le client pour les tables.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Notes

Les clés gérées par Microsoft font l'objet d'une rotation appropriée en fonction des exigences de conformité.Microsoft-managed keys are rotated appropriately per compliance requirements. Si vous avez des exigences spécifiques en matière de rotation des clés, Microsoft vous recommande de passer aux clés gérées par le client afin de pouvoir gérer et vérifier vous-même la rotation.If you have specific key rotation requirements, Microsoft recommends that you move to customer-managed keys so that you can manage and audit the rotation yourself.

Chiffrer les données doublement avec le chiffrement de l’infrastructureDoubly encrypt data with infrastructure encryption

Les clients qui doivent s’assurer que leurs données sont sécurisées peuvent également activer le chiffrement AES 256 bits au niveau de l’infrastructure Stockage Azure.Customers who require high levels of assurance that their data is secure can also enable 256-bit AES encryption at the Azure Storage infrastructure level. Lorsque le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois — une fois au niveau du service et une fois au niveau de l’infrastructure — avec deux algorithmes de chiffrement et deux clés différents.When infrastructure encryption is enabled, data in a storage account is encrypted twice — once at the service level and once at the infrastructure level — with two different encryption algorithms and two different keys. Le double chiffrement des données Stockage Azure permet d’éviter un scénario impliquant une possible compromission d’un algorithme ou d’une clé de chiffrement.Double encryption of Azure Storage data protects against a scenario where one of the encryption algorithms or keys may be compromised. Dans un tel scénario, la couche de chiffrement supplémentaire continue de protéger vos données.In this scenario, the additional layer of encryption continues to protect your data.

Le chiffrement au niveau du service prend en charge l’utilisation de clés gérées par Microsoft ou de clés gérées par le client avec Azure Key Vault.Service-level encryption supports the use of either Microsoft-managed keys or customer-managed keys with Azure Key Vault. Le chiffrement au niveau de l’infrastructure s’appuie sur des clés gérées par Microsoft et utilise systématiquement une clé distincte.Infrastructure-level encryption relies on Microsoft-managed keys and always uses a separate key.

Pour plus d’informations sur la création d’un compte de stockage qui permet le chiffrement de l’infrastructure, consultez Créer un compte de stockage avec le chiffrement d’infrastructure activé à des fins de double chiffrement des données.For more information about how to create a storage account that enables infrastructure encryption, see Create a storage account with infrastructure encryption enabled for double encryption of data.

Étendues de chiffrement pour le stockage d’objets blob (version préliminaire)Encryption scopes for Blob storage (preview)

Par défaut, un compte de stockage est chiffré avec une clé étendue au compte de stockage.By default, a storage account is encrypted with a key that is scoped to the storage account. Vous pouvez choisir d’utiliser des clés gérées par Microsoft ou des clés gérées par le client stockées dans Azure Key Vault pour protéger et contrôler l’accès à la clé qui chiffre vos données.You can choose to use either Microsoft-managed keys or customer-managed keys stored in Azure Key Vault to protect and control access to the key that encrypts your data.

Les étendues de chiffrement vous permettent de gérer le chiffrement au niveau d’un objet blob ou d’un conteneur individuel.Encryption scopes enable you to optionally manage encryption at the level of the container or an individual blob. Vous pouvez utiliser des étendues de chiffrement pour créer des limites sécurisées entre les données qui résident dans le même compte de stockage mais qui appartiennent à des clients différents.You can use encryption scopes to create secure boundaries between data that resides in the same storage account but belongs to different customers.

Vous pouvez créer une ou plusieurs étendues de chiffrement pour un compte de stockage à l’aide du fournisseur de ressources de stockage Azure.You can create one or more encryption scopes for a storage account using the Azure Storage resource provider. Lorsque vous créez une étendue de chiffrement, vous spécifiez si l’étendue est protégée par une clé gérée par Microsoft ou par une clé gérée par le client qui est stockée dans Azure Key Vault.When you create an encryption scope, you specify whether the scope is protected with a Microsoft-managed key or with a customer-managed key that is stored in Azure Key Vault. Différentes étendues de chiffrement sur le même compte de stockage peuvent utiliser des clés gérées par Microsoft ou par le client.Different encryption scopes on the same storage account can use either Microsoft-managed or customer-managed keys.

Une fois que vous avez créé une étendue de chiffrement, vous pouvez spécifier cette étendue de chiffrement sur une requête de création d’un conteneur ou d’un objet blob.After you have created an encryption scope, you can specify that encryption scope on a request to create a container or a blob. Pour plus d’informations sur la création d’une étendue de chiffrement, consultez Créer et gérer des étendues de chiffrement (version préliminaire).For more information about how to create an encryption scope, see Create and manage encryption scopes (preview).

Notes

Les étendues de chiffrement ne sont pas prises en charge avec les comptes de stockage géographiquement redondant avec accès en lecture (RA-GRS) et de stockage géographiquement redondant interzone avec accès en lecture (RA-GZRS) dans le cadre de la préversion.Encryption scopes are not supported with read-access geo-redundant storage (RA-GRS) and read-access geo-zone-redundant storage (RA-GZRS) accounts during preview.

Notes

Cette fonctionnalité n’est pas encore prise en charge dans les comptes dotés d’un espace de noms hiérarchique (Azure Data Lake Storage Gen2).This feature is not yet supported in accounts that have a hierarchical namespace (Azure Data Lake Storage Gen2). Pour en savoir plus, consultez Fonctionnalités de stockage blob disponibles dans Azure Data Lake Storage Gen2.To learn more, see Blob storage features available in Azure Data Lake Storage Gen2.

Important

Cette version préliminaire est destinée uniquement à une utilisation hors production.The encryption scopes preview is intended for non-production use only. Les contrats SLA (contrats de niveau de service) de production ne sont actuellement pas disponibles.Production service-level agreements (SLAs) are not currently available.

Pour éviter les coûts inattendus, veillez à désactiver les étendues de chiffrement dont vous n’avez pas besoin.To avoid unexpected costs, be sure to disable any encryption scopes that you do not currently need.

Créer un conteneur ou un blob avec une étendue de chiffrementCreate a container or blob with an encryption scope

Les objets blob créés dans le cadre d’une étendue de chiffrement sont chiffrés avec la clé spécifiée pour cette étendue.Blobs that are created under an encryption scope are encrypted with the key specified for that scope. Vous pouvez spécifier une étendue de chiffrement pour un objet blob individuel lorsque vous le créez l’objet, ou vous pouvez spécifier une étendue de chiffrement par défaut lorsque vous créez un conteneur.You can specify an encryption scope for an individual blob when you create the blob, or you can specify a default encryption scope when you create a container. Quand une étendue de chiffrement par défaut est spécifiée au niveau d’un conteneur, tous les objets blob de ce conteneur sont chiffrés avec la clé associée à l’étendue par défaut.When a default encryption scope is specified at the level of a container, all blobs in that container are encrypted with the key associated with the default scope.

Lorsque vous créez un objet blob dans un conteneur qui a une étendue de chiffrement par défaut, vous pouvez spécifier une étendue de chiffrement qui remplace l’étendue de chiffrement par défaut si le conteneur est configuré pour autoriser les remplacements de l’étendue de chiffrement par défaut.When you create a blob in a container that has a default encryption scope, you can specify an encryption scope that overrides the default encryption scope if the container is configured to allow overrides of the default encryption scope. Pour empêcher les remplacements de l’étendue de chiffrement par défaut, configurez le conteneur pour refuser les remplacements pour un objet blob individuel.To prevent overrides of the default encryption scope, configure the container to deny overrides for an individual blob.

Les opérations de lecture sur un objet blob qui appartient à une étendue de chiffrement se produisent de façon transparente, tant que l’étendue de chiffrement n’est pas désactivée.Read operations on a blob that belongs to an encryption scope happen transparently, so long as the encryption scope is not disabled.

Désactiver une étendue de chiffrementDisable an encryption scope

Lorsque vous désactivez une étendue de chiffrement, toutes les opérations de lecture ou d’écriture ultérieures effectuées avec l’étendue de chiffrement échouent avec le code d’erreur HTTP 403 (Interdit).When you disable an encryption scope, any subsequent read or write operations made with the encryption scope will fail with HTTP error code 403 (Forbidden). Si vous réactivez l’étendue de chiffrement, les opérations de lecture et d’écriture se poursuivent normalement.If you re-enable the encryption scope, read and write operations will proceed normally again.

Quand une étendue de chiffrement est désactivée, vous n’êtes plus facturé pour celle-ci.When an encryption scope is disabled, you are no longer billed for it. Désactivez les étendues de chiffrement qui ne sont pas nécessaires pour éviter les frais inutiles.Disable any encryption scopes that are not needed to avoid unnecessary charges.

Si votre étendue de chiffrement est protégée par des clés gérées par le client pour Azure Key Vault, vous pouvez également supprimer la clé associée dans le coffre de clés afin de désactiver l’étendue de chiffrement.If your encryption scope is protected with customer-managed keys for Azure Key Vault, then you can also delete the associated key in the key vault in order to disable the encryption scope. Gardez à l’esprit que les clés gérées par le client dans Azure Key Vault sont protégées par la suppression réversible et la protection de la suppression, et une clé supprimée est soumise au comportement défini par ces propriétés.Keep in mind that customer-managed keys in Azure Key Vault are protected by soft delete and purge protection, and a deleted key is subject to the behavior defined for by those properties. Pour plus d'informations, consultez les rubriques suivantes dans la documentation d’Azure Key Vault :For more information, see one of the following topics in the Azure Key Vault documentation:

Notes

Il n’est pas possible de supprimer une étendue de chiffrement.It is not possible to delete an encryption scope.

Étapes suivantesNext steps