Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Le double chiffrement est l’endroit où deux couches indépendantes ou plus de chiffrement sont activées pour se protéger contre les compromissions d’une couche de chiffrement. L’utilisation de deux couches de chiffrement atténue les menaces qui sont fournies avec le chiffrement des données. Par exemple:
- Erreurs de configuration dans le chiffrement des données
- Erreurs d’implémentation dans l’algorithme de chiffrement
- Compromission d’une clé de chiffrement unique
Azure fournit un double chiffrement pour les données au repos et les données en transit.
Données au repos
L’approche de Microsoft pour activer deux couches de chiffrement pour les données au repos est la suivante :
- Chiffrement au repos à l’aide de clés gérées par le client. Vous fournissez votre propre clé pour le chiffrement des données au repos. Vous pouvez apporter vos propres clés à votre coffre de clés (BYOK – Bring Your Own Key) ou générer de nouvelles clés dans Azure Key Vault pour chiffrer les ressources souhaitées.
- Chiffrement de l’infrastructure à l’aide de clés gérées par la plateforme. Par défaut, les données sont automatiquement chiffrées au repos à l’aide de clés de chiffrement gérées par la plateforme.
Données en transit
L’approche de Microsoft pour activer deux couches de chiffrement pour les données en transit est la suivante :
- Chiffrement de transit à l’aide du protocole TLS (Transport Layer Security) 1.2 pour protéger les données lorsqu’elles transitent entre les services cloud et vous. Tout le trafic sortant d’un centre de données est chiffré en transit, même si la destination du trafic est un autre contrôleur de domaine dans la même région. TLS 1.2 est le protocole de sécurité par défaut utilisé. TLS fournit une authentification forte, la confidentialité des messages et l’intégrité (permettant de détecter la falsification, l’interception et la falsification des messages), l’interopérabilité, la flexibilité de l’algorithme et la facilité de déploiement et d’utilisation.
- Couche supplémentaire de chiffrement fournie au niveau de la couche d’infrastructure. Chaque fois que le trafic client Azure se déplace entre les centres de données ( hors limites physiques non contrôlées par Microsoft ou au nom de Microsoft), une méthode de chiffrement de couche de liaison de données utilisant les normes de sécurité MAC IEEE 802.1AE (également appelées MACsec) est appliquée de point à point sur le matériel réseau sous-jacent. Les paquets sont chiffrés et déchiffrés sur les appareils avant d’être envoyés, empêchant les attaques physiques « man-in-the-middle » ou d’attaques par écoute téléphonique. Étant donné que cette technologie est intégrée au matériel réseau, elle fournit un chiffrement de débit de ligne sur le matériel réseau sans augmentation mesurable de la latence de la liaison. Ce chiffrement MACsec est activé par défaut pour tout le trafic Azure au sein d’une région ou entre des régions, et aucune intervention des clients n’est nécessaire pour l’activer.
Étapes suivantes
Découvrez comment le chiffrement est utilisé dans Azure.