Utilisez le portail Azure pour activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte

Quand vous activez le chiffrement sur l’hôte, les données stockées sur l’hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Pour obtenir des informations conceptuelles sur le chiffrement sur l’hôte ainsi que sur d’autres types de chiffrement de disques managés, consultez :

Restrictions

  • Ne prend pas en charge les disques Ultra.
  • Ne peut pas être activé si Azure Disk Encryption (le chiffrement de machine virtuelle invité à l’aide de BitLocker/VM-decryption) est activé sur vos machines virtuelles ou groupes de machines virtuelles identiques.
  • Azure Disk Encryption ne peut pas être activé sur les disques sur lesquels le chiffrement est activé sur l’hôte.
  • Le chiffrement peut être activé sur un groupe de machines virtuelles identiques existant. Toutefois, seules les nouvelles machines virtuelles créées après l’activation du chiffrement sont automatiquement chiffrées.
  • Les machines virtuelles existantes doivent être libérées et réallouées afin d’être chiffrées.
  • Prend en charge les disques de système d’exploitation éphémères, mais uniquement avec les clés gérées par la plateforme.

Tailles des machines virtuelles prises en charge

Toutes les dernières générations de tailles de machines virtuelles prennent en charge le chiffrement sur l’hôte :

Type Non pris en charge Prise en charge
Usage général Dv3, Dv2, Av2 B, DSv2, Dsv3, DC, DCv2, Dav4, Dasv4, Ddv4, Ddsv4
Optimisé pour le calcul Fsv2
Mémoire optimisée Ev3 Esv3, M, Mv2, Eav4, Easv4, Edv4, Edsv4
Optimisé pour le stockage LS, Lsv2 (disques NVMe non chiffrés)
GPU NC, NV NCv2, NCv3, ND, NVv3, NVv4, NDv2 (préversion)
Calcul haute performance H HB, HC, HBv2
Générations précédentes F, A, D, L, G DS, GS, Fs, NVv2

Prérequis

Vous devez activer la fonctionnalité pour votre abonnement avant d’utiliser la propriété EncryptionAtHost pour votre machine virtuelle/groupe de machines virtuelles identiques. Suivez les étapes ci-dessous pour activer la fonctionnalité pour votre abonnement :

  1. Portail Azure: Sélectionnez l’icône Cloud Shell dans le portail Azure :

    Icône permettant de lancer Cloud Shell à partir du portail Azure

  2. Exécutez la commande suivante pour inscrire la fonctionnalité pour votre abonnement

     Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute" 
    
  3. Vérifiez que l’état de l’inscription est Inscrit (cela prend quelques minutes) à l’aide de la commande ci-dessous avant d’essayer la fonctionnalité.

     Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"  
    

Connectez-vous au portail Azure à l’aide du lien fourni.

Important

Pour accéder au portail Azure, vous devez utiliser le lien fourni. Le chiffrement au niveau de l’hôte n’est actuellement pas visible dans le portail Azure public si le lien n’est pas utilisé.

Créer un coffre de clés Azure et un jeu de chiffrement de disque

Une fois la fonctionnalité activée, vous devez configurer un coffre de clés Azure et un jeu de chiffrement de disque, si ce n’est pas déjà fait.

La configuration des clés gérées par le client pour vos disques vous oblige à créer des ressources dans un ordre particulier si vous les utilisez pour la première fois. Tout d’abord, vous devez créer et configurer un Azure Key Vault.

Configurer votre coffre de clés Azure

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Coffre de clés.

    Capture d’écran du portail Azure, dans laquelle la boîte de dialogue de recherche est développée.

    Important

    Pour que le déploiement aboutisse, votre coffre de clés Azure, le jeu de chiffrement de disque, les machines virtuelles, les disques et les captures instantanées doivent tous se trouver dans la même région et le même abonnement.

  3. Sélectionnez +Ajouter pour créer un coffre de clés Key Vault.

  4. Créez un groupe de ressources.

  5. Entrez un nom de coffre de clés, sélectionnez une région, puis sélectionnez un niveau tarifaire.

    Notes

    Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection de purge garantit qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de rétention n’est pas écoulée. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

  6. Sélectionnez Vérifier + créer, vérifiez vos choix, puis sélectionnez Créer.

    Capture d’écran de l’expérience de création Azure Key Vault. Indication des valeurs spécifiques que vous créez

  7. Une fois que votre coffre de clés a terminé le déploiement, sélectionnez-le.

  8. Sous Paramètres, sélectionnez Clés.

  9. Sélectionnez Générer/Importer.

    Capture d’écran du volet Paramètres des ressources Key Vault. Affiche le bouton Générer/importer dans les paramètres.

  10. Laissez Type de clé défini sur RSA et Taille de clé RSA défini sur 2048.

  11. Renseignez les autres sélections comme vous le souhaitez, puis sélectionnez Créer.

    Capture d’écran du panneau Créer une clé qui apparaît une fois que le bouton Générer/importer est sélectionné

Ajouter un rôle RBAC Azure

Maintenant que vous avez créé le coffre de clés Azure et une clé, vous devez ajouter un rôle RBAC Azure afin de pouvoir utiliser votre coffre de clés Azure avec votre jeu de chiffrement de disque.

  1. Sélectionnez Contrôle d’accès (IAM) et ajoutez un rôle.
  2. Ajoutez les rôles Administrateur de coffre de clés, Propriétaire ou Contributeur.

Configuration du jeu de chiffrement de disque

  1. Recherchez Ensembles de chiffrement de disque et sélectionnez-le.

  2. Ouvrez le panneau Ensembles de chiffrement de disque et sélectionnez + Ajouter.

    Capture d’écran de l’écran principal du portail de chiffrement de disque. Mise en surbrillance du bouton Ajouter

  3. Sélectionnez votre groupe de ressources, attribuez un nom à votre jeu de chiffrement et sélectionnez la même région que votre coffre de clés.

  4. Pour Type de chiffrement, sélectionnez Chiffrement au repos avec une clé gérée par le client.

    Notes

    Une fois que vous avez créé un jeu de chiffrement de disque avec un type de chiffrement particulier, il n’est plus possible de le modifier. Si vous souhaitez utiliser un type de chiffrement différent, vous devez créer un nouveau jeu de chiffrement de disque.

  5. Sélectionnez Cliquer pour choisir une clé.

  6. Sélectionnez le coffre de clés et la clé que vous avez créés précédemment, ainsi que la version.

  7. Appuyez sur Sélectionner.

  8. Sélectionnez Vérifier + créer, puis Créer.

    Capture d’écran du panneau de création du chiffrement de disque. Indique l’abonnement, le groupe de ressources, le nom du jeu de chiffrement de disque, la région et le coffre de clés + sélecteur de clé.

Déployer une machine virtuelle

Vous devez déployer une nouvelle machine virtuelle pour activer le chiffrement au niveau de l’hôte, car il ne peut pas être activé sur les machines virtuelles existantes.

  1. Recherchez Machines virtuelles et sélectionnez + Ajouter pour créer une machine virtuelle.

  2. Créez une nouvelle machine virtuelle, sélectionnez une région appropriée et une taille de machine virtuelle prise en charge.

  3. Renseignez les autres valeurs du panneau Informations de base à votre guise, puis accédez au panneau Disques.

    Capture d’écran du panneau Informations de base de la création d’une machine virtuelle, la région et la taille de machine virtuelle sont mises en surbrillance.

  4. Dans le panneau Disques, sélectionnez Oui pour Chiffrement au niveau de l’hôte.

  5. Effectuez les sélections restantes comme vous le souhaitez.

    Capture d’écran du panneau Disques de la création d’une machine virtuelle, l’option Chiffrement au niveau de l’hôte est mise en surbrillance.

  6. Terminez le processus de déploiement de la machine virtuelle en effectuant les sélections qui conviennent à votre environnement.

Vous avez maintenant déployé une machine virtuelle avec chiffrement au niveau de l’hôte, et tous les disques associés seront chiffrés à l’aide du chiffrement au niveau de l’hôte.

Étapes suivantes

Exemples de modèles Azure Resource Manager