Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article fournit une vue d’ensemble de l’utilisation du chiffrement dans Microsoft Azure Document. Il couvre les principales zones de chiffrement, notamment le chiffrement au repos, le chiffrement en vol et la gestion des clés avec Azure Key Vault.
Chiffrement des données au repos
Les données au repos incluent des informations qui se trouvent dans un stockage persistant sur un support physique, sous n’importe quel format numérique. Microsoft Azure offre une variété de solutions de stockage de données en fonction des besoins, y compris le stockage sur fichier, disque, objet blob et table. Microsoft fournit également le chiffrement pour protéger Azure SQL Database, Azure Cosmos DB et Azure Data Lake.
Le chiffrement des données au repos à l’aide du chiffrement AES 256 est disponible pour les services sur le logiciel en tant que service (SaaS), la plateforme en tant que service (PaaS) et les modèles cloud IaaS (Infrastructure as a Service).
Pour une discussion détaillée sur la façon dont les données au repos sont chiffrées dans Azure, consultez Azure Data Encryption-at-Rest.
Modèles de chiffrement Azure
Azure prend en charge plusieurs modèles de chiffrement, notamment le chiffrement côté serveur à l’aide de clés gérées par le service, de clés gérées par le client dans Key Vault, ou de clés gérées par le client sur du matériel contrôlé par le client. Avec le chiffrement côté client, vous pouvez gérer et stocker des clés localement ou dans un autre emplacement sûr.
chiffrement côté client
Le chiffrement côté client est effectué en dehors d’Azure. Il inclut :
- Données chiffrées par une application qui s’exécute dans le centre de données du client ou par une application de service
- Données déjà chiffrées lorsqu’elles sont reçues par Azure
Avec le chiffrement côté client, les fournisseurs de services cloud n’ont pas accès aux clés de chiffrement et ne peuvent pas déchiffrer ces données. Vous conservez un contrôle total des clés.
Chiffrement côté serveur
Les trois modèles de chiffrement côté serveur offrent différentes caractéristiques de gestion des clés :
- Clés gérées par le service : offre une combinaison de contrôle et de commodité avec une faible surcharge
- Clés gérées par le client : vous permet de contrôler les clés, notamment la prise en charge byOK (Bring Your Own Keys), ou vous permet de générer de nouvelles clés.
- Clés gérées par le service dans le matériel contrôlé par le client : vous permet de gérer des clés dans votre référentiel propriétaire, en dehors du contrôle Microsoft (également appelé Host Your Own Key ou HYOK)
Azure Disk Encryption
Important
Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.
Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrer d’Azure Disk Encryption vers le chiffrement sur l’hôte .
Tous les disques managés, instantanés et images sont chiffrés à l’aide de Storage Service Encryption au moyen d’une clé gérée par le service. Azure offre également des options pour protéger les disques temporaires et les caches, et pour gérer les clés dans Azure Key Vault. Pour plus d’informations, consultez Vue d’ensemble des options de chiffrement de disque managé.
Chiffrement du service de stockage Azure
Les données au repos dans le stockage Blob Azure et les partages de fichiers Azure peuvent être chiffrées dans les scénarios côté serveur et côté client.
Azure Storage Service Encryption (SSE) peut chiffrer automatiquement les données avant qu’elles ne soient stockées, et les déchiffre automatiquement quand vous les récupérez. Storage Service Encryption utilise le chiffrement AES 256 bits, l’un des chiffrements de blocs les plus forts disponibles.
Le chiffrement de la base de données Azure SQL
Azure SQL Database est un service de base de données relationnelle à usage général qui prend en charge des structures telles que des données relationnelles, JSON, spatiales et XML. SQL Database prend en charge le chiffrement côté serveur grâce à la fonctionnalité de chiffrement transparent des données (TDE) et le chiffrement côté client grâce à la fonction Always Encrypted.
chiffrement transparent des données
TDE chiffre SQL Server, Azure SQL Database et les fichiers de données Azure Synapse Analytics en temps réel à l’aide d’une clé de chiffrement de base de données (DEK). TDE est activé par défaut sur les bases de données Azure SQL nouvellement créées.
Toujours Chiffré
La fonctionnalité Always Encrypted dans Azure SQL vous permet de chiffrer les données dans les applications clientes avant de les stocker dans Azure SQL Database. Vous pouvez activer la délégation de l’administration de base de données locale à des tiers et maintenir la séparation entre ceux qui possèdent et peuvent afficher les données et ceux qui le gèrent.
Chiffrement au niveau des cellules ou au niveau des colonnes
Avec Azure SQL Database, vous pouvez appliquer un chiffrement symétrique à une colonne de données à l’aide de Transact-SQL. Cette approche est appelée chiffrement au niveau de la cellule ou chiffrement au niveau des colonnes (CLE), car vous pouvez l’utiliser pour chiffrer des colonnes ou des cellules spécifiques avec des clés de chiffrement différentes, ce qui vous donne une capacité de chiffrement plus granulaire que TDE.
Chiffrement de base de données Azure Cosmos DB
Azure Cosmos DB est une base de données multi-modèles distribuée par Microsoft au niveau mondial. Les données utilisateur stockées dans Azure Cosmos DB dans un stockage non volatile (disques SSD) sont chiffrées par défaut à l’aide de clés gérées par le service. Vous pouvez ajouter une deuxième couche de chiffrement avec vos propres clés à l’aide de la fonctionnalité CMK (Customer-Managed Keys).
Chiffrement de Azure Data Lake
Azure Data Lake est un référentiel de données à l’échelle de l’entreprise. Data Lake Store prend en charge le chiffrement transparent « activé par défaut » des données au repos, qui est configuré lors de la création du compte. Par défaut, Azure Data Lake Store gère les clés pour vous, mais vous avez la possibilité de les gérer vous-même.
Chiffrement des données en transit
Azure offre plusieurs mécanismes pour protéger la confidentialité des données lorsqu’elles transitent d’un emplacement à un autre.
Chiffrement de couche de liaison de données
Chaque fois que le trafic client Azure se déplace entre les centres de données ( en dehors des limites physiques non contrôlées par Microsoft), une méthode de chiffrement de couche de liaison de données utilisant les normes de sécurité MAC IEEE 802.1AE (également appelées MACsec) est appliquée de point à point sur le matériel réseau sous-jacent. Les paquets sont chiffrés sur les appareils avant d’être envoyés, empêchant les attaques physiques de type « man-in-the-middle » ou d’attaques par écoute téléphonique. Ce chiffrement MACsec est activé par défaut pour tout le trafic Azure voyageant dans une région ou entre les régions.
Chiffrement TLS
Microsoft offre aux clients la possibilité d’utiliser le protocole TLS (Transport Layer Security) pour protéger les données lorsqu’elles transitent entre les services cloud et les clients. Les centres de données Microsoft négocient une connexion TLS avec les systèmes clients qui se connectent aux services Azure. TLS fournit une authentification, une confidentialité des messages et une intégrité puissantes.
Important
Azure effectue la transition pour exiger TLS 1.2 ou version ultérieure pour toutes les connexions aux services Azure. La plupart des services Azure ont effectué cette transition avant le 31 août 2025. Vérifiez que vos applications utilisent TLS 1.2 ou version ultérieure.
Perfect Forward Secrety (PFS) protège les connexions entre les systèmes clients des clients et les services cloud Microsoft par des clés uniques. Les connexions prennent en charge les longueurs de clés 2 048 bits basées sur RSA, les longueurs de clé ECC 256 bits, l’authentification des messages SHA-384 et le chiffrement des données AES-256.
Transactions de stockage Azure
Si vous interagissez avec le stockage Azure via le portail Azure, toutes les transactions se produisent via HTTPS. L’API de stockage REST par le biais de HTTPS peut également être utilisée pour interagir avec le stockage Azure. Vous pouvez appliquer l’utilisation de HTTPS lorsque vous appelez les API REST en activant l’exigence de transfert sécurisé pour le compte de stockage.
Les signatures d’accès partagé (SAP), qui peuvent être utilisées pour déléguer l’accès aux objets stockage Azure, incluent une option permettant de spécifier que seul le protocole HTTPS peut être utilisé.
Chiffrement SMB
SMB 3.0, utilisé pour accéder aux partages Azure Files, prend en charge le chiffrement et est disponible dans Windows Server 2012 R2, Windows 8, Windows 8.1 et Windows 10. Il autorise l’accès interrégion et l’accès sur le bureau.
Chiffrement VPN
Vous pouvez vous connecter à Azure via un réseau privé virtuel qui crée un tunnel sécurisé pour protéger la confidentialité des données envoyées sur le réseau.
Passerelles VPN Azure
La passerelle VPN Azure peut envoyer le trafic chiffré entre votre réseau virtuel et votre emplacement local sur une connexion publique ou entre des réseaux virtuels. Les VPN de site à site utilisent IPsec pour le chiffrement du transport.
VPN point à site
Les VPN point à site permettent à des ordinateurs clients d’accéder à un réseau virtuel Azure. Le protocole SSTP (Secure Socket Tunneling Protocol) est utilisé pour créer le tunnel VPN. Pour plus d’informations, consultez Configurer une connexion point à site à un réseau virtuel.
VPN site à site
Une connexion de passerelle VPN de site à site connecte votre réseau local à un réseau virtuel Azure via un tunnel VPN IPsec/IKE. Pour plus d’informations, consultez Créer une connexion de site à site.
Gestion des clés dans Key Vault
Sans protection et gestion appropriées des clés, le chiffrement est rendu inutile. Azure Key Vault est la solution recommandée par Microsoft pour gérer et contrôler l’accès aux clés de chiffrement utilisées par les services cloud.
Key Vault soulage les entreprises de la nécessité de configurer, de corriger et de tenir à jour des modules de sécurité matériels (HSM) et des logiciels de gestion de clés. Avec Key Vault, vous gérez le contrôle : Microsoft ne voit jamais vos clés et les applications n’ont pas d’accès direct à ces clés. Vous pouvez également importer ou générer des clés dans les modules HSM.
Pour plus d’informations sur la gestion des clés dans Azure, consultez Gestion des clés dans Azure.
Étapes suivantes
- Vue d’ensemble de la sécurité d’Azure
- Vue d’ensemble de la sécurité réseau d’Azure
- Vue d’ensemble de la sécurité des bases de données d’Azure
- Vue d’ensemble de la sécurité des machines virtuelles d’Azure
- Chiffrement des données au repos
- Meilleures pratiques en matière de chiffrement et de sécurité des données
- Gestion des clés dans Azure