Vue d’ensemble du chiffrement AzureAzure encryption overview

Cet article fournit une vue d’ensemble de l’utilisation du chiffrement dans Microsoft Azure Document.This article provides an overview of how encryption is used in Microsoft Azure. Il couvre les principales zones de chiffrement, notamment le chiffrement au repos, le chiffrement en vol et la gestion des clés avec Azure Key Vault.It covers the major areas of encryption, including encryption at rest, encryption in flight, and key management with Azure Key Vault. Chaque section inclut des liens vers des informations plus détaillées.Each section includes links to more detailed information.

Chiffrement des données au reposEncryption of data at rest

Les données au repos incluent des informations qui se trouvent dans un stockage persistant sur un support physique, sous n’importe quel format numérique.Data at rest includes information that resides in persistent storage on physical media, in any digital format. Il peut s’agir de fichiers sur un support magnétique ou optique, de données archivées et de sauvegardes de données.The media can include files on magnetic or optical media, archived data, and data backups. Microsoft Azure offre une variété de solutions de stockage de données en fonction des besoins, y compris le stockage sur fichier, disque, objet blob et table.Microsoft Azure offers a variety of data storage solutions to meet different needs, including file, disk, blob, and table storage. Microsoft fournit également le chiffrement pour protéger Azure SQL Database, Azure Cosmos DB et Azure Data Lake.Microsoft also provides encryption to protect Azure SQL Database, Azure Cosmos DB, and Azure Data Lake.

Le chiffrement des données au repos est disponible pour les modèles de cloud SaaS (Software-as-a-Service), PaaS (Platform-as-a-Service) et IaaS (Infrastructure-as-a-Service).Data encryption at rest is available for services across the software as a service (SaaS), platform as a service (PaaS), and infrastructure as a service (IaaS) cloud models. Cet article résume et fournit des ressources pour vous aider à utiliser les options de chiffrement Azure.This article summarizes and provides resources to help you use the Azure encryption options.

Pour accéder à une discussion plus détaillée du mode de chiffrement de données au repos dans Azure, consultez Chiffrement au repos des données Azure.For a more detailed discussion of how data at rest is encrypted in Azure, see Azure Data Encryption-at-Rest.

Modèles de chiffrement AzureAzure encryption models

Azure prend en charge plusieurs modèles de chiffrement, notamment le chiffrement côté serveur à l’aide de clés gérées par le service, de clés gérées par le client dans Key Vault, ou de clés gérées par le client sur du matériel contrôlé par le client.Azure supports various encryption models, including server-side encryption that uses service-managed keys, customer-managed keys in Key Vault, or customer-managed keys on customer-controlled hardware. Avec le chiffrement côté client, vous pouvez gérer et stocker des clés localement ou dans un autre emplacement sûr.With client-side encryption, you can manage and store keys on-premises or in another secure location.

chiffrement côté clientClient-side encryption

Le chiffrement côté client est effectué en dehors d’Azure.Client-side encryption is performed outside of Azure. Il inclut :It includes:

  • Les données chiffrées par une application qui s’exécute dans le centre de données du client ou par une application de service.Data encrypted by an application that’s running in the customer’s datacenter or by a service application.
  • Les données sont déjà chiffrées lorsqu’elles sont reçues par Azure.Data that is already encrypted when it is received by Azure.

Avec le chiffrement côté client, les fournisseurs de services cloud n’ont pas accès aux clés de chiffrement et ne peuvent pas déchiffrer ces données.With client-side encryption, cloud service providers don’t have access to the encryption keys and cannot decrypt this data. Vous conservez un contrôle total des clés.You maintain complete control of the keys.

Chiffrement côté serveurServer-side encryption

Les trois modèles de chiffrement côté serveur offrent différentes caractéristiques de gestion de clés, que vous pouvez choisir en fonction de vos besoins :The three server-side encryption models offer different key management characteristics, which you can choose according to your requirements:

  • Clés gérées par le service  : ce modèle fournit une combinaison de contrôle et de fonctionnalités avec une faible surcharge.Service-managed keys : Provides a combination of control and convenience with low overhead.

  • Clés gérées par le client  : ce modèle vous permet de contrôler les clés, avec notamment la prise en charge de BYOK (Bring Your Own Keys), ou d’en générer de nouvelles.Customer-managed keys : Gives you control over the keys, including Bring Your Own Keys (BYOK) support, or allows you to generate new ones.

  • Clés gérées par le service sur le matériel contrôlé par le client  : ce modèle vous permet de gérer les clés dans votre référentiel propriétaire, en dehors du contrôle de Microsoft.Service-managed keys in customer-controlled hardware : Enables you to manage keys in your proprietary repository, outside of Microsoft control. Cette caractéristique est appelée HYOK (Host Your Own Key).This characteristic is called Host Your Own Key (HYOK). Toutefois, la configuration est complexe et la plupart des services Azure ne prennent pas en charge ce modèle.However, configuration is complex, and most Azure services don’t support this model.

Azure Disk EncryptionAzure disk encryption

Vous pouvez protéger les machines virtuelles Windows et Linux à l’aide de Azure Disk Encryption, qui utilise la technologie Windows BitLocker et Linux DM-Crypt pour protéger des disques du système d’exploitation et des disques de données avec un chiffrement de volume complet.You can protect Windows and Linux virtual machines by using Azure disk encryption, which uses Windows BitLocker technology and Linux DM-Crypt to protect both operating system disks and data disks with full volume encryption.

Les clés de chiffrement et les secrets sont sauvegardés dans votre abonnement Azure Key Vault.Encryption keys and secrets are safeguarded in your Azure Key Vault subscription. À l’aide du service Sauvegarde Azure, vous pouvez sauvegarder et restaurer des machines virtuelles chiffrées qui utilisent la configuration de clé de chiffrement à clé (KEK).By using the Azure Backup service, you can back up and restore encrypted virtual machines (VMs) that use Key Encryption Key (KEK) configuration.

Chiffrement du service de stockage AzureAzure Storage Service Encryption

Les données au repos dans le stockage Blob Azure et les partages de fichiers Azure peuvent être chiffrées dans les scénarios côté serveur et côté client.Data at rest in Azure Blob storage and Azure file shares can be encrypted in both server-side and client-side scenarios.

Azure Storage Service Encryption (SSE) peut chiffrer automatiquement les données avant qu’elles ne soient stockées, et les déchiffre automatiquement quand vous les récupérez.Azure Storage Service Encryption (SSE) can automatically encrypt data before it is stored, and it automatically decrypts the data when you retrieve it. Le processus est entièrement transparent pour les utilisateurs.The process is completely transparent to users. Storage Service Encryption utilise le chiffrement AES (Advanced Encryption Standard) 256 bits, qui est l’un des chiffrements par blocs les plus forts disponibles.Storage Service Encryption uses 256-bit Advanced Encryption Standard (AES) encryption, which is one of the strongest block ciphers available. AES gère le chiffrement, le déchiffrement et la gestion des clés en toute transparence.AES handles encryption, decryption, and key management transparently.

Chiffrement côté client des objets blob AzureClient-side encryption of Azure blobs

Vous pouvez effectuer le chiffrement côté client des objets blob Azure de différentes manières.You can perform client-side encryption of Azure blobs in various ways.

Vous pouvez utiliser la bibliothèque cliente de stockage Azure pour le package NuGet .NET afin de chiffrer les données dans vos applications clientes avant de les charger vers votre stockage Azure.You can use the Azure Storage Client Library for .NET NuGet package to encrypt data within your client applications prior to uploading it to your Azure storage.

Pour en savoir plus et télécharger la bibliothèque cliente de stockage Azure pour le package NuGet .NET, consultez Stockage Microsoft Azure 8.3.0.To learn more about and download the Azure Storage Client Library for .NET NuGet package, see Windows Azure Storage 8.3.0.

Quand vous utilisez le chiffrement côté client avec Key Vault, vos données sont chiffrées à l’aide d’une clé de chiffrement de contenu (CEK) symétrique à usage unique qui est générée par le SDK client de stockage Azure.When you use client-side encryption with Key Vault, your data is encrypted using a one-time symmetric Content Encryption Key (CEK) that is generated by the Azure Storage client SDK. La clé CEK est chiffrée à l’aide d’une clé de chiffrement de clé (KEK), qui peut être une clé symétrique ou une paire de clés asymétriques.The CEK is encrypted using a Key Encryption Key (KEK), which can be either a symmetric key or an asymmetric key pair. Vous pouvez la gérer localement ou la stocker dans Key Vault.You can manage it locally or store it in Key Vault. Les données chiffrées sont ensuite chargées vers Stockage Azure.The encrypted data is then uploaded to Azure Storage.

Pour en savoir plus sur le chiffrement côté client avec Key Vault et obtenir des instructions de démarrage pas à pas, consultez Didacticiel : Chiffrement et déchiffrement d’objets blob dans Microsoft Azure Storage à l’aide d’Azure Key Vault.To learn more about client-side encryption with Key Vault and get started with how-to instructions, see Tutorial: Encrypt and decrypt blobs in Azure Storage by using Key Vault.

Pour finir, vous pouvez également utiliser la bibliothèque cliente de stockage Azure pour Java afin d’effectuer un chiffrement côté client avant de charger des données vers le stockage Azure et de déchiffrer les données lors de leur téléchargement vers le client.Finally, you can also use the Azure Storage Client Library for Java to perform client-side encryption before you upload data to Azure Storage, and to decrypt the data when you download it to the client. La bibliothèque prend également en charge l’intégration à Key Vault pour la gestion des clés de compte de stockage.This library also supports integration with Key Vault for storage account key management.

Chiffrement des données au repos avec Azure SQL DatabaseEncryption of data at rest with Azure SQL Database

Azure SQL Database est une base de données relationnelle à usage général dans Azure qui prend en charge des structures telles que les données relationnelles, JSON, les données spatiales et XML.Azure SQL Database is a general-purpose relational database service in Azure that supports structures such as relational data, JSON, spatial, and XML. SQL Database prend en charge le chiffrement côté serveur grâce à la fonctionnalité de chiffrement transparent des données (TDE) et le chiffrement côté client grâce à la fonction Always Encrypted.SQL Database supports both server-side encryption via the Transparent Data Encryption (TDE) feature and client-side encryption via the Always Encrypted feature.

chiffrement transparent des donnéesTransparent Data Encryption

TDE est utilisé pour chiffrer les fichiers de données SQL Server, Azure SQL Database et Azure Synapse Analytics en temps réel à l’aide d’une clé de chiffrement de base de données (DEK) stockée dans l’enregistrement de démarrage de la base de données pour être disponible lors de la récupération.TDE is used to encrypt SQL Server, Azure SQL Database, and Azure Synapse Analytics data files in real time, using a Database Encryption Key (DEK), which is stored in the database boot record for availability during recovery.

TDE protège les données et les fichiers journaux, à l’aide d’algorithmes de chiffrement AES et 3DES (Triple Data Encryption Standard).TDE protects data and log files, using AES and Triple Data Encryption Standard (3DES) encryption algorithms. Le chiffrement du fichier de base de données est effectué au niveau de la page.Encryption of the database file is performed at the page level. Les pages dans une base de données chiffrée sont chiffrées avant d’être écrites sur le disque, et sont déchiffrées quand elles sont lues en mémoire.The pages in an encrypted database are encrypted before they are written to disk and are decrypted when they’re read into memory. TDE est désormais activé par défaut sur les nouvelles bases de données Azure SQL.TDE is now enabled by default on newly created Azure SQL databases.

Fonctionnalité Always EncryptedAlways Encrypted feature

Avec la fonctionnalité Always Encrypted dans Azure SQL, vous pouvez chiffrer les données dans les applications clientes avant de les stocker dans Azure SQL Database.With the Always Encrypted feature in Azure SQL you can encrypt data within client applications prior to storing it in Azure SQL Database. Vous pouvez également activer la délégation de l’administration locale de base de données à des tiers, et maintenir la séparation entre ceux qui possèdent et peuvent afficher les données et ceux qui les gèrent, mais qui ne doivent pas pouvoir y accéder.You can also enable delegation of on-premises database administration to third parties and maintain separation between those who own and can view the data and those who manage it but should not have access to it.

Chiffrement au niveau des cellules ou au niveau des colonnesCell-level or column-level encryption

Avec Azure SQL Database, vous pouvez appliquer un chiffrement symétrique à une colonne de données à l’aide de Transact-SQL.With Azure SQL Database, you can apply symmetric encryption to a column of data by using Transact-SQL. Cette approche porte le nom de chiffrement au niveau des cellules ou chiffrement au niveau des colonnes (CLE), car vous pouvez l’utiliser pour chiffrer les colonnes ou même des cellules de données spécifiques avec différentes clés de chiffrement.This approach is called cell-level encryption or column-level encryption (CLE), because you can use it to encrypt specific columns or even specific cells of data with different encryption keys. Cela vous offre la possibilité d’un chiffrement plus granulaire que le chiffrement transparent des données, qui chiffre les données dans les pages.Doing so gives you more granular encryption capability than TDE, which encrypts data in pages.

Le CLE dispose de fonctions intégrées que vous pouvez utiliser pour chiffrer les données à l’aide de clés symétriques ou asymétriques, de la clé publique d’un certificat ou d’une phrase secrète à l’aide de 3DES.CLE has built-in functions that you can use to encrypt data by using either symmetric or asymmetric keys, the public key of a certificate, or a passphrase using 3DES.

Chiffrement de base de données Azure Cosmos DBCosmos DB database encryption

Azure Cosmos DB est une base de données multi-modèles distribuée par Microsoft au niveau mondial.Azure Cosmos DB is Microsoft's globally distributed, multi-model database. Les données utilisateur stockées dans le stockage non volatile (disques SSD) Cosmos DB sont chiffrées par défaut.User data that's stored in Cosmos DB in non-volatile storage (solid-state drives) is encrypted by default. Il n’existe aucun contrôle pour activer ou désactiver le chiffrement.There are no controls to turn it on or off. Le chiffrement au repos est implémenté à l’aide d’un certain nombre de technologies de sécurité, notamment des systèmes de stockage de clés sécurisés, des réseaux chiffrés et des API de chiffrement.Encryption at rest is implemented by using a number of security technologies, including secure key storage systems, encrypted networks, and cryptographic APIs. Les clés de chiffrement sont gérées par Microsoft et font l’objet d’une rotation par le biais de directives internes de Microsoft.Encryption keys are managed by Microsoft and are rotated per Microsoft internal guidelines.

Chiffrement au repos dans Data LakeAt-rest encryption in Data Lake

Azure Data Lake est un référentiel de l’entreprise pour tous les types de données collectées dans un seul emplacement avant toute définition formelle de spécifications ou schémas.Azure Data Lake is an enterprise-wide repository of every type of data collected in a single place prior to any formal definition of requirements or schema. Data Lake Store prend en charge « par défaut » un chiffrement transparent de données au repos défini lors de la création de votre compte.Data Lake Store supports "on by default," transparent encryption of data at rest, which is set up during the creation of your account. Par défaut, Azure Data Lake Store gère les clés pour vous, mais vous avez la possibilité de les gérer vous-même.By default, Azure Data Lake Store manages the keys for you, but you have the option to manage them yourself.

Trois types de clés sont utilisées dans le chiffrement et le déchiffrement des données : la clé de chiffrement principale (MEK), la clé de chiffrement de données (DEK) et la clé de chiffrement de blocs (BEK).Three types of keys are used in encrypting and decrypting data: the Master Encryption Key (MEK), Data Encryption Key (DEK), and Block Encryption Key (BEK). La clé MEK permet de chiffrer la clé DEK, stockée sur un support persistant et a clé BEK est dérivée de la clé DEK et du bloc de données.The MEK is used to encrypt the DEK, which is stored on persistent media, and the BEK is derived from the DEK and the data block. Si vous gérez vos propres clés, vous pouvez procéder à la rotation de la clé MEK.If you are managing your own keys, you can rotate the MEK.

Chiffrement des données en transitEncryption of data in transit

Azure offre plusieurs mécanismes pour protéger la confidentialité des données lorsqu’elles transitent d’un emplacement à un autre.Azure offers many mechanisms for keeping data private as it moves from one location to another.

Chaque fois que le trafic du client Azure s'effectue entre différents centres de données - en dehors des limites physiques non contrôlées par Microsoft (ou pour le compte de Microsoft) - une méthode de chiffrement de la couche de liaison de données utilisant les normes de sécurité MAC IEEE 802.1AE (également appelées MACsec) est appliquée de point à point sur le matériel réseau sous-jacent.Whenever Azure Customer traffic moves between datacenters-- outside physical boundaries not controlled by Microsoft (or on behalf of Microsoft)-- a data-link layer encryption method using the IEEE 802.1AE MAC Security Standards (also known as MACsec) is applied from point-to-point across the underlying network hardware. Les paquets sont chiffrés et déchiffrés sur les appareils avant d'être envoyés, ce qui permet d'éviter les attaques physiques de l'intercepteur ou les attaques par snooping/écoutes téléphoniques.The packets are encrypted and decrypted on the devices before being sent, preventing physical “man-in-the-middle” or snooping/wiretapping attacks. Étant donné que cette technologie est intégrée au matériel réseau, elle fournit un chiffrement de débit de ligne sur le matériel réseau sans augmentation mesurable de la latence de la liaison.Because this technology is integrated on the network hardware itself, it provides line rate encryption on the network hardware with no measurable link latency increase. Ce chiffrement MACsec est activé par défaut pour tout le trafic Azure au sein d’une région ou entre des régions, et aucune intervention des clients n’est nécessaire pour l’activer.This MACsec encryption is on by default for all Azure traffic traveling within a region or between regions, and no action is required on customers’ part to enable.

Chiffrement TLS dans AzureTLS encryption in Azure

Microsoft permet aux clients d'utiliser le protocole Transport Layer Security (TLS) pour protéger les données lorsqu'elles circulent entre les services cloud et les clients.Microsoft gives customers the ability to use Transport Layer Security (TLS) protocol to protect data when it’s traveling between the cloud services and customers. Les centres de données Microsoft négocient une connexion TLS avec les systèmes clients qui se connectent aux services Azure.Microsoft datacenters negotiate a TLS connection with client systems that connect to Azure services. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.TLS provides strong authentication, message privacy, and integrity (enabling detection of message tampering, interception, and forgery), interoperability, algorithm flexibility, and ease of deployment and use.

Perfect Forward Secrecy (PFS) protège les connexions entre les systèmes clients des clients et les services cloud de Microsoft par des clés uniques.Perfect Forward Secrecy (PFS) protects connections between customers’ client systems and Microsoft cloud services by unique keys. Les connexions utilisent également les longueurs de clés de chiffrement RSA de 2 048 bits.Connections also use RSA-based 2,048-bit encryption key lengths. Cette combinaison rend difficile pour une personne l’interception et l’accès aux données en transit.This combination makes it difficult for someone to intercept and access data that is in transit.

Transactions de stockage AzureAzure Storage transactions

Si vous interagissez avec le stockage Azure via le portail Azure, toutes les transactions se produisent via HTTPS.When you interact with Azure Storage through the Azure portal, all transactions take place over HTTPS. L’API de stockage REST par le biais de HTTPS peut également être utilisée pour interagir avec le stockage Azure.You can also use the Storage REST API over HTTPS to interact with Azure Storage. Vous pouvez appliquer l’utilisation du protocole HTTPS quand vous appelez les API REST pour accéder aux objets dans les comptes de stockage en activant le transfert sécurisé requis pour le compte de stockage.You can enforce the use of HTTPS when you call the REST APIs to access objects in storage accounts by enabling the secure transfer that's required for the storage account.

Les signatures d’accès partagé (SAP), qui peuvent être utilisées pour déléguer l’accès aux objets de stockage Azure, incluent une option pour spécifier que seul le protocole HTTPS est autorisé quand vous utilisez des signatures d’accès partagé.Shared Access Signatures (SAS), which can be used to delegate access to Azure Storage objects, include an option to specify that only the HTTPS protocol can be used when you use Shared Access Signatures. Cette approche garantit que toute personne envoyant des liens avec des jetons SAP utilise le protocole approprié.This approach ensures that anybody who sends links with SAS tokens uses the proper protocol.

SMB 3.0, qui est utilisé pour accéder à Azure File Shares, prend en charge le chiffrement et est disponible dans Windows Server 2012 R2, Windows 8, Windows 8.1 et Windows 10.SMB 3.0, which used to access Azure Files shares, supports encryption, and it's available in Windows Server 2012 R2, Windows 8, Windows 8.1, and Windows 10. Cela rend possible l’accès entre les régions et même l’accès sur le bureau.It allows cross-region access and even access on the desktop.

Le chiffrement côté client chiffre les données avant qu’elles soient envoyées à votre instance Stockage Azure, afin qu’elles soient chiffrées quand elles transitent sur le réseau.Client-side encryption encrypts the data before it’s sent to your Azure Storage instance, so that it’s encrypted as it travels across the network.

Chiffrement SMB sur les réseaux virtuels AzureSMB encryption over Azure virtual networks

En utilisant SMB 3.0 sur des machines virtuelles qui exécutent Windows Server 2012 ou version ultérieure, vous pouvez sécuriser les transferts de données en chiffrant les données en transit sur des réseaux virtuels Azure.By using SMB 3.0 in VMs that are running Windows Server 2012 or later, you can make data transfers secure by encrypting data in transit over Azure Virtual Networks. Le chiffrement des données offre une protection contre la falsification et les attaques d’écoute.By encrypting data, you help protect against tampering and eavesdropping attacks. Les administrateurs peuvent activer le chiffrement SMB pour l’ensemble du serveur ou juste des partages spécifiques.Administrators can enable SMB encryption for the entire server, or just specific shares.

Par défaut, une fois le chiffrement SMB activé pour un partage ou un serveur, seuls les clients SMB 3.0 sont autorisés à accéder aux partages chiffrés.By default, after SMB encryption is turned on for a share or server, only SMB 3.0 clients are allowed to access the encrypted shares.

Chiffrement en transit sur des machines virtuellesIn-transit encryption in VMs

Les données en transit vers, à partir de et entre les machines virtuelles exécutant Windows peuvent être chiffrées de différentes manières, en fonction de la nature de la connexion.Data in transit to, from, and between VMs that are running Windows can be encrypted in a number of ways, depending on the nature of the connection.

Sessions RDPRDP sessions

Vous pouvez vous connecter et ouvrir une session sur une machine virtuelle à l’aide du protocole RDP (Remote Desktop Protocol) à partir d’un ordinateur client Windows ou d’un Mac avec un client RDP installé.You can connect and sign in to a VM by using the Remote Desktop Protocol (RDP) from a Windows client computer, or from a Mac with an RDP client installed. Les données en transit sur le réseau dans les sessions RDP peuvent être protégées par le TLS.Data in transit over the network in RDP sessions can be protected by TLS.

Vous pouvez également utiliser le Bureau à distance pour vous connecter à une machine virtuelle Linux dans Azure.You can also use Remote Desktop to connect to a Linux VM in Azure.

Sécuriser l’accès aux machines virtuelles Linux avec SSHSecure access to Linux VMs with SSH

Pour la gestion à distance, vous pouvez utiliser Secure Shell (SSH) afin de vous connecter aux machines virtuelles Linux exécutées dans Azure.For remote management, you can use Secure Shell (SSH) to connect to Linux VMs running in Azure. SSH est un protocole de connexion chiffré qui permet d’ouvrir des sessions en toute sécurité à travers des connexions non sécurisées.SSH is an encrypted connection protocol that allows secure sign-ins over unsecured connections. Il s’agit du protocole de connexion par défaut pour les machines virtuelles Linux hébergées dans Azure.It is the default connection protocol for Linux VMs hosted in Azure. En faisant appel à des clés SSH pour l’authentification, vous éliminez le besoin de mots de passe pour vous connecter.By using SSH keys for authentication, you eliminate the need for passwords to sign in. SSH utilise une paire de clés publique/privée (chiffrement asymétrique) pour l’authentification.SSH uses a public/private key pair (asymmetric encryption) for authentication.

Chiffrement VPN AzureAzure VPN encryption

Vous pouvez vous connecter à Azure via un réseau privé virtuel qui crée un tunnel sécurisé pour protéger la confidentialité des données envoyées sur le réseau.You can connect to Azure through a virtual private network that creates a secure tunnel to protect the privacy of the data being sent across the network.

Passerelles VPN AzureAzure VPN gateways

Vous pouvez utiliser la passerelle VPN Azure pour envoyer un trafic chiffré entre votre réseau virtuel et votre emplacement local sur une connexion publique, ou pour envoyer un trafic entre des réseaux virtuels.You can use an Azure VPN gateway to send encrypted traffic between your virtual network and your on-premises location across a public connection, or to send traffic between virtual networks.

Les VPN de site à site utilisent IPsec pour le chiffrement du transport.Site-to-site VPNs use IPsec for transport encryption. Les passerelles VPN Azure utilisent un ensemble de propositions par défaut.Azure VPN gateways use a set of default proposals. Vous pouvez configurer des passerelles VPN Azure pour utiliser une stratégie IPsec/IKE personnalisée avec des algorithmes de chiffrement spécifiques et des avantages clés, plutôt que des ensembles de stratégies Azure par défaut.You can configure Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

VPN point à sitePoint-to-site VPNs

Les VPN point à site permettent à des ordinateurs clients d’accéder à un réseau virtuel Azure.Point-to-site VPNs allow individual client computers access to an Azure virtual network. Le protocole SSTP (Secure Socket Tunneling Protocol) est utilisé pour créer le tunnel VPN.The Secure Socket Tunneling Protocol (SSTP) is used to create the VPN tunnel. Il peut traverser des pare-feu (le tunnel apparaît en tant que connexion HTTPS).It can traverse firewalls (the tunnel appears as an HTTPS connection). Vous pouvez utiliser votre propre autorité de certification racine interne d’infrastructure à clé publique pour la connectivité point à site.You can use your own internal public key infrastructure (PKI) root certificate authority (CA) for point-to-site connectivity.

Vous pouvez configurer une connexion VPN point à site à un réseau virtuel à l’aide du portail Azure avec l’authentification par certificat ou PowerShell.You can configure a point-to-site VPN connection to a virtual network by using the Azure portal with certificate authentication or PowerShell.

Pour en savoir plus sur les connexions VPN de point à site à des réseaux virtuels Azure, consultez :To learn more about point-to-site VPN connections to Azure virtual networks, see:

Configurer une connexion point à site sur un réseau virtuel à l'aide d'une authentification par certification : Portail AzureConfigure a point-to-site connection to a virtual network by using certification authentication: Azure portal

Configurer une connexion point à site sur un réseau virtuel à l'aide d'une authentification par certificat : PowerShellConfigure a point-to-site connection to a virtual network by using certificate authentication: PowerShell

VPN site à siteSite-to-site VPNs

Vous pouvez utiliser une connexion de passerelle VPN de site à site pour connecter votre réseau local à un réseau virtuel Azure par le biais d’un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2).You can use a site-to-site VPN gateway connection to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Ce type de connexion nécessite un périphérique VPN local disposant d’une adresse IP publique exposée en externe.This type of connection requires an on-premises VPN device that has an external-facing public IP address assigned to it.

Vous pouvez configurer une connexion VPN de site à site à un réseau virtuel à l’aide du portail Azure, de PowerShell ou d’Azure CLI.You can configure a site-to-site VPN connection to a virtual network by using the Azure portal, PowerShell, or Azure CLI.

Pour plus d'informations, consultez les pages suivantes :For more information, see:

Créer une connexion de site à site dans le portail AzureCreate a site-to-site connection in the Azure portal

Créer une connexion de site à site à l’aide de PowerShellCreate a site-to-site connection in PowerShell

Créer un réseau virtuel avec une connexion VPN de site à site à l’aide de l’interface de ligne de commandeCreate a virtual network with a site-to-site VPN connection by using CLI

Chiffrement en transit dans Data LakeIn-transit encryption in Data Lake

Les données en transit (ou données en mouvement) sont également toujours chiffrées dans Data Lake Store.Data in transit (also known as data in motion) is also always encrypted in Data Lake Store. Outre le chiffrement des données avant leur stockage sur un support permanent, les données sont également toujours sécurisées en transit à l’aide du protocole HTTPS.In addition to encrypting data prior to storing it in persistent media, the data is also always secured in transit by using HTTPS. HTTPS est le seul protocole pris en charge pour les interfaces REST Data Lake Store.HTTPS is the only protocol that is supported for the Data Lake Store REST interfaces.

Pour en savoir plus sur le chiffrement des données en transit dans Data Lake, consultez Chiffrement des données dans Azure Data Lake Store.To learn more about encryption of data in transit in Data Lake, see Encryption of data in Data Lake Store.

Gestion des clés dans Key VaultKey management with Key Vault

Sans protection appropriée et la gestion des clés, le chiffrement est rendu inutilisable.Without proper protection and management of the keys, encryption is rendered useless. Key Vault est la solution recommandée de Microsoft qui permet de gérer et de contrôler l’accès aux clés de chiffrement utilisées par les services cloud.Key Vault is the Microsoft-recommended solution for managing and controlling access to encryption keys used by cloud services. Les autorisations d’accès aux clés peuvent être attribuées aux services ou aux utilisateurs via des comptes Azure Active Directory.Permissions to access keys can be assigned to services or to users through Azure Active Directory accounts.

Key Vault soulage les entreprises de la nécessité de configurer, de corriger et de tenir à jour des modules de sécurité matériels (HSM) et des logiciels de gestion de clés.Key Vault relieves organizations of the need to configure, patch, and maintain hardware security modules (HSMs) and key management software. Quand vous utilisez Key Vault, vous conservez le contrôle.When you use Key Vault, you maintain control. Microsoft ne voit jamais vos clés, et les applications n’y ont pas accès directement.Microsoft never sees your keys, and applications don’t have direct access to them. Vous pouvez également importer ou générer des clés dans les modules HSM.You can also import or generate keys in HSMs.

Étapes suivantesNext steps