Chiffrement dans Azure

  • Article

Les protections technologiques dans Azure, telles que les communications chiffrées et les processus opérationnels, permettent de sécuriser vos données. Vous avez également la possibilité d’implémenter des fonctionnalités de chiffrement supplémentaires et de gérer vos propres clés de chiffrement. Quelle que soit la configuration du client, Microsoft applique le chiffrement pour protéger les données client dans Azure. Microsoft vous permet également de contrôler vos données hébergées dans Azure via une gamme de technologies avancées pour chiffrer, contrôler et gérer les clés de chiffrement, ainsi que contrôler et auditer l’accès aux données. En outre, stockage Azure fournit un ensemble complet de fonctionnalités de sécurité qui permettent aux développeurs de créer des applications sécurisées.

Azure offre de nombreux mécanismes pour protéger les données à mesure qu’elles se déplacent d’un emplacement à un autre. Microsoft utilise TLS pour protéger les données lorsqu’elles transitent entre les services cloud et les clients. Les centres de données de Microsoft négocient une connexion TLS avec les systèmes clients qui se connectent aux services Azure. Le secret de transfert (FS) protège les connexions entre les systèmes clients des clients et les services cloud de Microsoft par des clés uniques. Les connexions utilisent également des longueurs de clé de chiffrement rsa de 2 048 bits. Cette combinaison rend difficile l’interception et l’accès aux données en transit.

Les données peuvent être sécurisées en transit entre une application et Azure à l’aide du chiffrement côté client, https ou SMB 3.0. Vous pouvez activer le chiffrement pour le trafic entre vos propres machines virtuelles et vos utilisateurs. Avec les réseaux virtuels Azure, vous pouvez utiliser le protocole IPsec standard pour chiffrer le trafic entre votre passerelle VPN d’entreprise et Azure, ainsi qu’entre les machines virtuelles situées sur votre Réseau virtuel.

Pour les données au repos, Azure offre de nombreuses options de chiffrement, telles que la prise en charge d’AES-256, ce qui vous permet de choisir le scénario de stockage de données qui répond le mieux à vos besoins. Les données peuvent être chiffrées automatiquement lorsqu’elles sont écrites dans le stockage Azure à l’aide du chiffrement du service de stockage, et le système d’exploitation et les disques de données utilisés par les machines virtuelles peuvent être chiffrés. Pour plus d’informations, consultez Recommandations de sécurité pour les machines virtuelles Windows dans Azure. En outre, l’accès délégué aux objets de données dans stockage Azure peut être accordé à l’aide de signatures d’accès partagé. Azure fournit également le chiffrement des données au repos à l’aide de Transparent Data Encryption pour Azure SQL Database et Data Warehouse.

Pour plus d’informations sur le chiffrement dans Azure, consultez Vue d’ensemble du chiffrement Azure et Azure Data Encryption-at-Rest.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Azure Disk Encryption

Azure Disk Encryption vous permet de chiffrer vos disques de machines virtuelles IaaS (Infrastructure as a Service) Windows et Linux. Azure Disk Encryption utilise la fonctionnalité BitLocker de Windows et la fonctionnalité DM-Crypt de Linux pour fournir un chiffrement au niveau du volume pour le système d’exploitation et les disques de données. Il garantit également que toutes les données sur les disques de machine virtuelle sont chiffrées au repos dans votre stockage Azure. Azure Disk Encryption est intégré à Azure Key Vault pour vous aider à contrôler, gérer et auditer l’utilisation des clés de chiffrement et des secrets.

Pour plus d’informations, consultez Recommandations de sécurité pour les machines virtuelles Windows dans Azure.

Azure Storage Service Encryption

Avec Azure Storage Service Encryption, stockage Azure chiffre automatiquement les données avant de les conserver dans le stockage et déchiffre les données avant la récupération. Les processus de chiffrement, de déchiffrement et de gestion des clés sont totalement transparents pour les utilisateurs. Azure Storage Service Encryption peut être utilisé pour Stockage Blob Azure et Azure Files. Vous pouvez également utiliser des clés de chiffrement gérées par Microsoft avec Azure Storage Service Encryption, ou vous pouvez utiliser vos propres clés de chiffrement. (Pour plus d’informations sur l’utilisation de vos propres clés, consultez Chiffrement du service de stockage à l’aide de clés gérées par le client dans Azure Key Vault. Pour plus d’informations sur l’utilisation de clés gérées par Microsoft, consultez Chiffrement du service de stockage pour les données au repos.) En outre, vous pouvez automatiser l’utilisation du chiffrement. Par exemple, vous pouvez activer ou désactiver le chiffrement du service de stockage par programmation sur un compte de stockage à l’aide de l’API REST du fournisseur de ressources de stockage Azure, de la bibliothèque cliente du fournisseur de ressources de stockage pour .NET, Azure PowerShell ou d’Azure CLI.

Certains services Microsoft 365 utilisent Azure pour stocker des données. Par exemple, SharePoint Online et OneDrive Entreprise stockent des données dans le Stockage Blob Azure, et Microsoft Teams stocke les données de son service de conversation dans des tables, des objets blob et des files d’attente. En outre, la fonctionnalité Gestionnaire de conformité dans le portail de conformité Microsoft Purview stocke les données saisies par le client sous forme chiffrée dans Azure Cosmos DB, une base de données PaaS (Platform as a Service), distribuée à l’échelle mondiale et multimodèle. Azure Storage Service Encryption chiffre les données stockées dans le stockage Blob Azure et dans les tables, et Azure Disk Encryption chiffre les données dans les files d’attente, ainsi que les disques de machines virtuelles Windows et IaaS pour fournir un chiffrement de volume pour le système d’exploitation et le disque de données. La solution garantit que toutes les données des disques de machine virtuelle sont chiffrées au repos dans votre stockage Azure. Le chiffrement au repos dans Azure Cosmos DB est implémenté à l’aide de plusieurs technologies de sécurité, notamment des systèmes de stockage de clés sécurisés, des réseaux chiffrés et des API de chiffrement.

Azure Key Vault

La gestion sécurisée des clés n’est pas seulement au cœur des bonnes pratiques de chiffrement; il est également essentiel pour protéger les données dans le cloud. Azure Key Vault vous permet de chiffrer les clés et les petits secrets tels que les mots de passe qui utilisent des clés stockées dans des modules de sécurité matériels (HSM). Azure Key Vault est la solution recommandée par Microsoft pour gérer et contrôler l’accès aux clés de chiffrement utilisées par les services cloud. Les autorisations d’accès aux clés peuvent être attribuées aux services ou aux utilisateurs disposant de comptes Azure Active Directory. Azure Key Vault libère les organisations de la nécessité de configurer, de corriger et de gérer les modules HSM et les logiciels de gestion des clés. Avec Azure Key Vault, Microsoft ne voit jamais vos clés et vos applications n’y ont pas d’accès direct ; vous conservez le contrôle. Vous pouvez également importer ou générer des clés dans des HSM. Les organisations disposant d’un abonnement incluant Azure Information Protection peuvent configurer leur locataire Azure Information Protection pour utiliser une clé gérée par le client ByOK (Bring Your Own Key) et journaliser son utilisation.