Partager via


Activer le chiffrement d’infrastructure pour le chiffrement double des données

Stockage Azure chiffre automatiquement toutes les données d’un compte de stockage au niveau du service à l’aide du chiffrement AES 256 bits avec mode GCM, un des chiffrements par blocs les plus puissants actuellement disponibles, et est conforme à la norme FIPS 140-2. Les clients qui doivent s’assurer que leurs données sont sécurisées peuvent également activer le chiffrement AES 256 bits avec mode GCM au niveau de l’infrastructure de Stockage Azure pour le chiffrement double. Le double chiffrement des données Stockage Azure permet d’éviter un scénario impliquant une possible compromission d’un algorithme ou d’une clé de chiffrement. Dans un tel scénario, la couche de chiffrement supplémentaire continue de protéger vos données.

Le chiffrement d’infrastructure peut être activé pour l’ensemble du compte de stockage ou pour une étendue de chiffrement au sein d’un compte. Lorsque le chiffrement d’infrastructure est activé pour un compte de stockage ou une étendue de chiffrement, les données sont chiffrées deux fois, une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement et deux clés différents.

Le chiffrement au niveau du service prend en charge l’utilisation de clés gérées par Microsoft ou de clés gérées par le client avec Azure Key Vault ou un module de sécurité matériel (HSM) géré par Azure Key Vault. Le chiffrement au niveau de l’infrastructure s’appuie sur des clés gérées par Microsoft et utilise systématiquement une clé distincte. Pour plus d’informations sur la gestion des clés avec chiffrement Stockage Azure, consultez À propos de la gestion des clés de chiffrement.

Pour chiffrer doublement vos données, vous devez d’abord créer un compte de stockage ou une étendue de chiffrement qui sont configurés pour le chiffrement d’infrastructure. Cet article décrit comment activer le chiffrement d’infrastructure.

Important

Le chiffrement de l’infrastructure est recommandé pour les scénarios où le chiffrement double des données est nécessaire pour les exigences de conformité. Pour la plupart des autres scénarios, le chiffrement stockage Azure fournit un algorithme de chiffrement suffisamment puissant, et il est peu probable qu’il y ait un avantage à utiliser le chiffrement d’infrastructure.

Créer un compte avec le chiffrement d’infrastructure activé

Pour activer le chiffrement d’infrastructure pour un compte de stockage, vous devez configurer l’utilisation du chiffrement d’infrastructure au moment où vous créez le compte. Le chiffrement d’infrastructure ne peut pas être activé ou désactivé une fois le compte créé. Le compte de stockage doit être de type Universel v2, Objet blob de blocs Premium, Objet blob de pages Premium ou Partages de fichiers Premium.

Pour utiliser le portail Azure afin de créer un compte de stockage avec le chiffrement d’infrastructure activé, procédez comme suit :

  1. Dans le portail Azure, accédez à la page Comptes de stockage.

  2. Choisissez le bouton Ajouter pour ajouter un nouveau compte de partage de fichiers Universel v2, Objet blob de blocs Premium, Objet blob de pages Premium ou Partage de fichiers Premium.

  3. Sous l’onglet Chiffrement, localisez Activer le chiffrement d’infrastructure, puis sélectionnez Activé.

  4. Sélectionnez Vérifier + créer pour achever la création du compte de stockage.

    Capture d’écran montrant comment activer le chiffrement d’infrastructure lors de la création d’un compte.

Pour vérifier que le chiffrement d’infrastructure est activé pour un compte de stockage avec le portail Azure, procédez comme suit :

  1. Accédez à votre compte de stockage dans le portail Azure.

  2. Sous Sécurité + mise en réseau, choisissez Chiffrement.

    Capture d’écran montrant comment vérifier que le chiffrement d’infrastructure est activé pour un compte.

Azure Policy fournit une stratégie intégrée pour exiger que le chiffrement de l’infrastructure soit activé pour un compte de stockage. Pour plus d’informations, consultez la section Stockage dans définitions de stratégies intégrées Azure Policy.

Créer une étendue de chiffrement avec le chiffrement d’infrastructure activé

Si le chiffrement d’infrastructure est activé pour un compte, toute étendue de chiffrement créée sur ce compte utilise automatiquement le chiffrement d’infrastructure. Si le chiffrement d’infrastructure n’est pas activé au niveau du compte, vous avez la possibilité de l’activer pour une étendue de chiffrement au moment de la création de l’étendue. Le paramètre de chiffrement d’infrastructure d’une étendue de chiffrement ne peut pas être modifié après la création de l’étendue. Pour plus d’informations, consultez Créer une étendue de chiffrement.

Étapes suivantes