Chiffrement côté serveur de stockage sur disque Azure

La plupart des disques managés Azure sont chiffrés avec le chiffrement de Stockage Azure, qui utilise le chiffrement côté serveur (SSE) pour protéger vos données et vous aider à répondre aux engagements de votre organisation en matière de sécurité et de conformité. Le chiffrement Stockage Azure chiffre automatiquement vos données stockées sur des disques managés Azure (système d’exploitation et disques de données) au repos par défaut lors de leur conservation dans le cloud. Toutefois, les disques sur lesquels le chiffrement est activé sur l’hôte ne sont pas chiffrés par le biais du Stockage Azure. Pour les disques sur lesquels le chiffrement est activé sur l’hôte, le serveur qui héberge votre machine virtuelle fournit le chiffrement de vos données, et les données chiffrées sont transmises dans le Stockage Azure.

Les données dans les disque managés Azure sont chiffrées en toute transparence à l’aide du chiffrement AES 256 bits, un des chiffrements par blocs les plus puissants actuellement disponibles, et sont conformes à la norme FIPS 140-2. Pour plus d’informations sur les modules cryptographiques des disque managés Azure, consultez API de chiffrement : nouvelle génération

Le chiffrement Stockage Azure n’a pas d’impact sur les performances des disques managés et n’entraîne aucun coût supplémentaire. Pour plus d’informations sur le chiffrement du Stockage Azure, voir Chiffrement du stockage Azure.

Notes

Les disques temporaires ne sont pas des disques managés et ne sont pas chiffrés par SSE, sauf si vous activez le chiffrement à l’hôte.

À propos de la gestion des clés de chiffrement

Vous pouvez vous appuyer sur les clés gérées par la plateforme pour le chiffrement de votre disque managé, ou vous pouvez gérer le chiffrement en utilisant vos propres clés. Si vous choisissez de gérer le chiffrement avec vos propres clés, vous pouvez spécifier une clé gérée par le client à utiliser pour le chiffrement et le déchiffrement de toutes les données dans les disques managés.

Les sections suivantes décrivent en détail chacune des options de gestion des clés.

Clés gérées par la plateforme

Par défaut, les disques managés utilisent des clés de chiffrement gérées par la plateforme. L’ensemble des nouveaux disques managés, des instantanés et des images ainsi que les données écrites sur des disques managés existants sont automatiquement chiffrés au repos avec des clés gérées par les plateformes.

Clés gérées par le client

Vous pouvez choisir de gérer le chiffrement au niveau de chaque disque managé, avec vos propres clés. Le chiffrement côté serveur pour les disques managés avec des clés gérées par le client offre une expérience intégrée avec Azure Key Vault. Vous pouvez importer vos clés RSA vers votre Key Vault ou générer de nouvelles clés RSA dans Azure Key Vault.

Les disques managés Azure gèrent le chiffrement et le déchiffrement de manière entièrement transparente à l’aide du chiffrement d’enveloppe. Ils chiffrent les données à l’aide d’une clé de chiffrement de données AES 256, qui est à son tour protégée à l’aide de vos clés. Le service Stockage génère des clés de chiffrement de données et les chiffre avec des clés gérées par le client à l’aide du chiffrement RSA. Le chiffrement d’enveloppe vous permet de faire pivoter (modifier) régulièrement vos clés en fonction de vos stratégies de conformité sans perturber le fonctionnement de vos machines virtuelles. Lorsque vous faites pivoter vos clés, le service Stockage rechiffre les clés de chiffrement de données avec les nouvelles clés gérées par le client.

Contrôle total de vos clés

Vous devez accorder l’accès aux disques managés dans votre Key Vault pour utiliser vos clés pour le chiffrement et le déchiffrement de la clé de chiffrement. Cela vous permet de contrôler intégralement vos données et vos clés. Vous pouvez désactiver vos clés ou révoquer l’accès aux disques managés à tout moment. Vous pouvez également auditer l’utilisation de la clé de chiffrement avec la surveillance Azure Key Vault pour vous assurer que seuls les disques managés ou d’autres services Azure approuvés accèdent à vos clés.

Pour les SSD Premium, les SSD Standard et les HDD Standard : si vous désactivez ou supprimez votre clé, toutes les machines virtuelles comportant des disques qui utilisent cette clé s’arrêtent automatiquement. Elles ne seront plus utilisables tant que la clé n’aura pas été réactivée ou que vous n’aurez pas affecté une nouvelle clé.

Pour les Disques Ultra : si vous désactivez ou supprimez une clé, les machines virtuelles comportant des Disques Ultra qui utilisent cette clé ne s’arrêtent pas automatiquement. Une fois que vous aurez libéré et redémarré les machines virtuelles, les disques arrêteront d’utiliser la clé et les machines virtuelles ne sont plus en ligne. Pour les remettre en ligne, vous devrez affecter une nouvelle clé ou activer la clé existante.

Le diagramme suivant montre comment les disques managés utilisent Azure Active Directory et Azure Key Vault pour effectuer des demandes en utilisant la clé gérée par le client :

Workflow de disques managés et de clés gérées par le client. Un administrateur crée un Azure Key Vault, puis crée et configure un jeu de chiffrement de disque. Le jeu est associé à une machine virtuelle qui permet au disque d’utiliser Azure AD pour s’authentifier

La liste suivante décrit le diagramme plus en détail :

  1. Un administrateur Azure Key Vault crée des ressources de coffre de clés.
  2. L’administrateur du coffre de clés importe ses clés RSA vers Key Vault ou génère de nouvelles clés RSA dans Key Vault.
  3. Cet administrateur crée une instance de ressource de jeu de chiffrement de disque, en spécifiant un ID Azure Key Vault et une URL de clé. Le jeu de chiffrement de disque est une nouvelle ressource introduite pour simplifier la gestion des clés pour les disques managés.
  4. Lors de la création d’un jeu de chiffrement de disque, une Identité managée affectée par le système est créée dans Azure Active Directory (AD) et est associée au jeu de chiffrement de disque.
  5. L’administrateur du coffre de clés Azure accorde ensuite à l’identité managée l’autorisation d’effectuer des opérations dans le coffre de clés.
  6. Un utilisateur de machine virtuelle crée des disques en les associant au jeu de chiffrement de disque. L’utilisateur de la machine virtuelle peut également activer le chiffrement côté serveur avec des clés gérées par le client pour les ressources existantes en les associant au jeu de chiffrement de disque.
  7. Les disques managés utilisent l’identité managée pour envoyer des demandes au Azure Key Vault.
  8. Pour la lecture ou l’écriture de données, les disques managés envoient des demandes à Azure Key Vault pour chiffrer (envelopper) et déchiffrer (désenvelopper) la clé de chiffrement des données, afin d’effectuer le chiffrement et le déchiffrement des données.

Pour révoquer l’accès aux clés managées par le client, consultez Azure Key Vault PowerShell et Azure Key Vault CLI. La révocation de l’accès bloque efficacement l’accès à toutes les données dans le compte de stockage, car la clé de chiffrement n’est pas accessible au Stockage Azure.

Rotation automatique des clés gérées par le client (version préliminaire)

Vous pouvez activer la rotation automatique des clés vers la dernière version de la clé. Un disque fait référence à une clé via son jeu de chiffrement de disque. Lorsque vous activez la rotation automatique pour un jeu de chiffrement de disque, le système met automatiquement à jour tous les disques managés, les captures instantanées et les images référençant le jeu de chiffrement de disque pour utiliser la nouvelle version de la clé dans un délai d’une heure. La fonctionnalité est actuellement disponible en version préliminaire dans un nombre limité de régions. Pour en savoir plus sur la disponibilité régionale, consultez la section Régions prises en charge.

Restrictions

Pour le moment, les clés gérées par le client sont soumises aux restrictions suivantes :

  • Si cette fonctionnalité est activée pour votre disque, vous ne pouvez pas la désactiver. Pour contourner le problème, vous devez copier toutes les données en utilisant le module Azure PowerShell ou l’interface de ligne de commande Azure sur un autre disque managé qui n’utilise pas de clés gérées par le client.
  • Seules les clés RSA HSM et de logiciels des tailles une tailles 2 048 bits, 3 072 bits et 4 096 bits sont prises en charge ; aucune autre clé ou taille n’est prise en charge.
    • Les clés HSM nécessitent le niveau Premium de coffres de clés Azure.
  • Les disques créés à partir d’images personnalisées et chiffrées à l’aide du chiffrement côté serveur et des clés gérées par le client doivent être chiffrés à l’aide des mêmes clés gérées par le client et doivent figurer dans le même abonnement.
  • Les instantanés créés à partir de disques chiffrés à l’aide du chiffrement côté serveur et des clés gérées par le client doivent être chiffrés avec les mêmes clés gérées par le client.
  • Toutes les ressources liées à vos clés gérées par le client (coffres de clés Azure, jeux de chiffrement de disque, machines virtuelles, disques et instantanés) doivent se trouver dans le même abonnement et la même région.
  • Les disques, les instantanés et les images chiffrées avec des clés gérées par le client ne peuvent pas être déplacés vers un autre groupe de ressource et un autre abonnement.
  • Les disques managés actuellement ou précédemment chiffrés à l'aide d'Azure Disk Encryption ne peuvent pas être chiffrés avec des clés gérées par le client.
  • Ne peut créer que jusqu’à 1 000 jeux de chiffrements de disques par région et par abonnement.
  • Pour plus d’informations sur l’utilisation de clés gérées par le client avec des galeries d’images partagées, consultez Préversion : Utiliser des clés gérées par le client pour le chiffrement d’images.

Régions prises en charge

Les clés gérées par le client sont disponibles dans toutes les régions où les disques managés le sont également.

La rotation automatique des clés est en préversion et n’est disponible que dans les régions suivantes :

  • USA Est
  • USA Est 2
  • États-Unis - partie centrale méridionale
  • USA Ouest
  • USA Ouest 2
  • Europe Nord
  • Europe Ouest
  • France Centre

Important

Les clés managées par le client s’appuient sur des identités managées pour ressources Azure, une fonctionnalité d’Azure Active Directory (Azure AD). Quand vous configurez des clés gérées par le client, une identité managée est automatiquement affectée à vos ressources à l’arrière plan. Si par la suite vous déplacez l’abonnement, le groupe de ressources ou le disque managé d’un répertoire Azure AD à un autre, l’identité managée associée aux disques gérés n’est pas transférée vers le nouveau locataire, de sorte que les clés gérées par le client peuvent ne plus fonctionner. Pour plus d’informations, consultez Transfert d’un abonnement entre des répertoires Azure AD.

Pour activer les clés gérées par le client pour les disques managés, consultez nos articles traitant de la façon de les activer à l’aide du module Azure PowerShell, d’Azure CLI ou du portail Azure. Pour savoir comment activer les clés gérées par le client avec rotation automatique des clés, consultez Configurer un coffre de clés Azure et un jeu de chiffrement DiskEncryptionSet avec rotation automatique des clés (préversion).

Chiffrement à l’hôte : chiffrement de bout en bout pour vos données de machine virtuelle

Lorsque vous activez le chiffrement sur l’hôte, il démarre sur l’hôte de machine virtuelle lui-même, le serveur Azure auquel votre machine virtuelle est allouée. Les données de votre disque temporaire et des caches du système d’exploitation/du disque de données sont stockées sur cet hôte de machine virtuelle. Après l’activation du chiffrement sur l’hôte, toutes ces données sont chiffrées au repos et les flux sont chiffrés dans le service de stockage, où elles sont conservées. En fait, le chiffrement sur l’hôte chiffre vos données de bout en bout. Le chiffrement sur l’hôte n’utilise pas le processeur de votre machine virtuelle et n’a pas d’impact sur ses performances.

Les disques temporaires et disques de système d’exploitation éphémères sont chiffrés au repos avec des clés gérées par la plateforme lorsque vous activez le chiffrement de bout en bout. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement de disque sélectionné. Par exemple, si un disque est chiffré avec des clés gérées par le client, le cache du disque est chiffré avec les clés gérées par le client et, si un disque est chiffré à l’aide de clés gérées par la plateforme, le cache du disque est chiffré avec les clés gérées par la plateforme.

Restrictions

  • Ne prend pas en charge les disques Ultra.
  • Ne peut pas être activé si Azure Disk Encryption (le chiffrement de machine virtuelle invité à l’aide de BitLocker/VM-decryption) est activé sur vos machines virtuelles ou groupes de machines virtuelles identiques.
  • Azure Disk Encryption ne peut pas être activé sur les disques sur lesquels le chiffrement est activé sur l’hôte.
  • Le chiffrement peut être activé sur un groupe de machines virtuelles identiques existant. Toutefois, seules les nouvelles machines virtuelles créées après l’activation du chiffrement sont automatiquement chiffrées.
  • Les machines virtuelles existantes doivent être libérées et réallouées afin d’être chiffrées.
  • Prend en charge les disques de système d’exploitation éphémères, mais uniquement avec les clés gérées par la plateforme.

Tailles des machines virtuelles prises en charge

Toutes les dernières générations de tailles de machines virtuelles prennent en charge le chiffrement sur l’hôte :

Type Non pris en charge Prise en charge
Usage général Dv3, Dv2, Av2 B, DSv2, Dsv3, DC, DCv2, Dav4, Dasv4, Ddv4, Ddsv4
Optimisé pour le calcul Fsv2
Mémoire optimisée Ev3 Esv3, M, Mv2, Eav4, Easv4, Edv4, Edsv4
Optimisé pour le stockage LS, Lsv2 (disques NVMe non chiffrés)
GPU NC, NV NCv2, NCv3, ND, NVv3, NVv4, NDv2 (préversion)
Calcul haute performance H HB, HC, HBv2
Générations précédentes F, A, D, L, G DS, GS, Fs, NVv2

Vous pouvez également rechercher les tailles de machine virtuelle par programmation. Pour savoir comment les récupérer par programme, reportez-vous à la section Recherche des tailles de machine virtuelle prises en charge du module Azure PowerShell ou des articles Azure CLI.

Pour activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte, consultez nos articles traitant de la façon de l’activer à l’aide du module Azure PowerShell, d’Azure CLI et du portail Azure.

Double chiffrement des données au repos

Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent désormais choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Cette nouvelle couche peut être appliquée systèmes d’exploitation et disques de données persistants, à des captures instantanées et à des images, qui seront toutes chiffrées au repos avec un double chiffrement.

Régions prises en charge

Le double chiffrement est disponible dans toutes les régions où les disques managés le sont également.

Pour activer le chiffrement double au repos pour les disques managés, consultez nos articles traitant de la façon de l’activer à l’aide du module Azure PowerShell, d’Azure CLI ou du portail Azure.

Chiffrement côté serveur et chiffrement de disque Azure

Azure Disk Encryption utilise la fonctionnalité DM-Crypt de Linux et la fonctionnalité BitLocker de Windows pour chiffrer les disques managés avec des clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec des clés gérées par le client améliore l’utilisation de Azure Disk Encryption en vous permettant d’utiliser des types et des images de système d’exploitation pour vos machines virtuelles en chiffrant les données dans le service de stockage.

Important

Les clés managées par le client s’appuient sur des identités managées pour ressources Azure, une fonctionnalité d’Azure Active Directory (Azure AD). Quand vous configurez des clés gérées par le client, une identité managée est automatiquement affectée à vos ressources à l’arrière plan. Si, par la suite, vous déplacez l’abonnement, le groupe de ressources ou le disque managé d’un répertoire Azure AD à un autre, l’identité managée associée aux disques gérés n’est pas transférée vers le nouveau locataire, de sorte que les clés gérées par le client peuvent ne plus fonctionner. Pour plus d’informations, consultez Transfert d’un abonnement entre des répertoires Azure AD.

Étapes suivantes