Vue d’ensemble des options de chiffrement des disques managés

Il existe plusieurs types de chiffrement disponibles pour vos disques managés, y compris Azure Disk Encryption (ADE), le chiffrement côté serveur (SSE) et le chiffrement sur l’hôte.

  • Azure Disk Encryption vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. ADE chiffre les disques de système d’exploitation et de données de machines virtuelles Azure dans vos machines virtuelles en utilisant la fonctionnalité DM-Crypt de Linux ou la fonctionnalité BitLocker de Windows. ADE est intégré à Azure Key Vault pour faciliter le contrôle et la gestion des clés et des secrets de chiffrement des disques. Pour obtenir tous les détails, consultez Azure Disk Encryption pour les machines virtuelles Linux ou Azure Disk Encryption pour les machines virtuelles Windows.

  • Le chiffrement côté serveur du Stockage sur disque Azure (également appelé chiffrement au repos ou chiffrement du Stockage Azure) chiffre automatiquement les données stockées sur les disques managés Azure (disques de système d’exploitation et de données) et persistantes sur les clusters de stockage. Lorsqu’il est configuré avec un jeu de chiffrement de disque (DES, Disk Encryption Set), il prend également en charge les clés gérées par le client. Pour obtenir tous les détails, consultez Chiffrement côté serveur de stockage sur disque Azure.

  • Le chiffrement sur l’hôte garantit que les données stockées sur l’hôte de machine virtuelle hébergeant votre machine virtuelle seront chiffrées au repos et chemineront chiffrées jusqu’aux clusters de stockage. Pour des détails complets, consultez Chiffrement sur l’hôte : chiffrement de bout en bout pour vos données de machine virtuelle.

  • Le chiffrement de disque confidentiel lie les clés de chiffrement de disque au module de plateforme sécurisée (TPM) de la machine virtuelle et rend le contenu du disque protégé accessible uniquement à la machine virtuelle. L’état invité de machine virtuelle et du module de plateforme sécurisée (TPM) est toujours chiffré dans le code attesté à l’aide de clés publiées par un protocole sécurisé qui contourne l’hyperviseur et le système d’exploitation hôte. Actuellement disponible uniquement pour le disque du système d’exploitation. Le chiffrement sur l’hôte peut être utilisé pour d’autres disques sur une machine virtuelle confidentielle en plus du chiffrement de disque confidentiel. Pour plus d’informations, consultez Machines virtuelles confidentielles des séries DCasv5 et ECasv5.

Le chiffrement fait partie d’une approche multicouche de la sécurité. Il doit être utilisé conjointement à d’autres recommandations afin de sécuriser les machines virtuelles et leurs disques. Pour plus d’informations, consultez Recommandations de sécurité pour les machines virtuelles dans Azure et Restreindre l’accès à l’importation/exportation de disques managés à l’aide d’Azure Private Link.

Comparaison

Voici une comparaison du chiffrement SSE du Stockage sur disque, du chiffrement ADE, du chiffrement sur l’hôte et du chiffrement de disque confidentiel.

Chiffrement au repos (disques de système d’exploitation et de données) Chiffrement de disque temporaire Chiffrement des caches Données transmises chiffrées entre le calcul et le stockage Contrôle des clés par le client N’utilise pas le processeur de votre machine virtuelle Fonctionne pour les images personnalisées Protection de clé améliorée État de chiffrement de disque de Microsoft Defender pour le cloud
Chiffrement côté serveur du Stockage sur disque Azure au repos ✅ Lorsqu’il est configuré avec DES Non sain, non applicable en cas d’exemption
Azure Disk Encryption ❌ Ne fonctionne pas pour les images Linux personnalisées Healthy
Chiffrement sur l’hôte Non sain, non applicable en cas d’exemption
Chiffrement de disque confidentiel ✅ Pour le disque de système d’exploitation uniquement ✅ Pour le disque de système d’exploitation uniquement ✅ Pour le disque de système d’exploitation uniquement ✅ Pour le disque de système d’exploitation uniquement Non sain, non applicable en cas d’exemption

Important

Pour le chiffrement sur l’hôte et le chiffrement de disque confidentiel, Microsoft Defender pour le cloud ne détecte pas l’état de chiffrement. Nous mettons actuellement à jour Microsoft Defender

Étapes suivantes