Utilisez le portail Azure pour activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte

  • Article

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows

Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Pour obtenir des informations conceptuelles sur le chiffrement sur l'hôte et sur d'autres types de chiffrement de disques managés, consultez : Chiffrement sur l'hôte : chiffrement de bout en bout pour vos données de machine virtuelle.

Les disques temporaires et disques de système d’exploitation éphémères sont chiffrés au repos avec des clés gérées par la plateforme lorsque vous activez le chiffrement de bout en bout. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement de disque que vous avez sélectionné. Par exemple, si un disque est chiffré avec des clés gérées par le client, le cache du disque est chiffré avec les clés gérées par le client et, si un disque est chiffré à l’aide de clés gérées par la plateforme, le cache du disque est chiffré avec les clés gérées par la plateforme.

Restrictions

  • Prise en charge pour les disques Ultra de taille de secteur 4k et SSD Premium v2.
  • Pris en charge seulement sur les disques Ultra de taille de secteur 512e et SSD Premium v2 s’ils ont été créés après le 13/05/2023.
  • Activation impossible sur les machines virtuelles ou les groupes de machines virtuelles identiques pour lesquels le service Azure Disk Encryption est ou a été activé.
  • Azure Disk Encryption ne peut pas être activé sur les disques sur lesquels le chiffrement est activé sur l’hôte.
  • Le chiffrement peut être activé sur des groupes de machines virtuelles identiques existants. Toutefois, seules les nouvelles machines virtuelles créées après l’activation du chiffrement sont automatiquement chiffrées.
  • Les machines virtuelles existantes doivent être libérées et réallouées afin d’être chiffrées.

Disponibilité régionale

Le chiffrement sur l’hôte est disponible dans toutes les régions pour tous les types de disques.

Tailles des machines virtuelles prises en charge

Les tailles de machines virtuelles héritées ne sont pas prises en charge. Vous pouvez trouver la liste des tailles de machines virtuelles prises en charge dans le module Azure PowerShell ou Azure CLI.

Prérequis

Vous devez activer la fonctionnalité dans votre abonnement pour pouvoir utiliser le chiffrement au niveau de l’hôte sur votre machine virtuelle ou votre groupe de machines virtuelles identiques. Pour activer la fonctionnalité pour votre abonnement, procédez comme suit :

  1. Portail Azure: Sélectionnez l’icône Cloud Shell dans le portail Azure :

    Capture d’écran de l’icône permettant de lancer Cloud Shell à partir du portail Azure.

  2. Exécutez la commande suivante pour inscrire la fonctionnalité pour votre abonnement

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. Vérifiez que l’état de l’inscription est Inscrit (l’inscription peut prendre quelques minutes) en utilisant la commande suivante avant d’essayer la fonctionnalité.

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

Déployer une machine virtuelle avec clés gérées par la plateforme

  1. Connectez-vous au portail Azure.

  2. Recherchez Machines virtuelles, puis sélectionnez + Créer pour créer une machine virtuelle.

  3. Sélectionnez une région appropriée et une taille de machine virtuelle prise en charge.

  4. Renseignez les autres valeurs du volet Informations de base comme vous le souhaitez, puis accédez au volet Disques.

    Capture d’écran du volet Informations de base de la création de machine virtuelle. La région et la taille de la machine virtuelle sont mises en évidence.

  5. Sur la panneau Disque, sélectionnez Chiffrement au niveau de l’hôte.

  6. Effectuez les sélections restantes comme vous le souhaitez.

    Capture d’écran du panneau des disques de création d’une machine virtuelle, le chiffrement au niveau de l’hôte est mis en évidence.

  7. Pour le reste du processus de déploiement de machines virtuelles, effectuez les sélections qui correspondent à votre environnement, puis exécutez le déploiement.

Vous venez de déployer une machine virtuelle avec activation du chiffrement au niveau de l’hôte. Le cache du disque est chiffré à l’aide de clés gérées par la plateforme.

Déployer une machine virtuelle avec des clés gérées par le client

Vous pouvez également utiliser des clés gérées par le client pour chiffrer vos caches disque.

Créer un coffre de clés Azure et un jeu de chiffrement de disque

Une fois la fonctionnalité activée, vous devez configurer un coffre de clés Azure et un jeu de chiffrement de disque, si ce n’est pas déjà fait.

La configuration des clés gérées par le client pour vos disques vous oblige à créer des ressources dans un ordre particulier si vous les utilisez pour la première fois. Vous devez d’abord créer et configurer un coffre de clés Azure Key Vault.

Configurer votre coffre de clés Azure

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Coffre de clés.

    Capture d’écran du portail Azure, dans laquelle la boîte de dialogue de recherche est développée.

    Important

    Pour que le déploiement aboutisse, votre jeu de chiffrement de disque, les machines virtuelles, les disques et les captures instantanées doivent tous se trouver dans la même région et le même abonnement. Les instances d’Azure Key Vault Azure peuvent être utilisées à partir d’un autre abonnement, mais doivent se trouver dans la même région et le même locataire que votre jeu de chiffrement de disque.

  3. Sélectionnez +Créer pour créer un nouveau Coffre de clés.

  4. Créez un groupe de ressources.

  5. Entrez un nom de coffre de clés, sélectionnez une région, puis sélectionnez un niveau tarifaire.

    Notes

    Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection de purge garantit qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de rétention n’est pas écoulée. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

  6. Sélectionnez Vérifier + créer, vérifiez vos choix, puis sélectionnez Créer.

    Capture d’écran de l’expérience de création de coffre de clés Azure Key Vault, montrant les valeurs particulières que vous créez.

  7. Une fois que votre coffre de clés a terminé le déploiement, sélectionnez-le.

  8. Sélectionnez Clés sous Objets.

  9. Sélectionnez Générer/Importer.

    Capture d’écran du volet des paramètres de ressource Key Vault, montrant le bouton Générer/Importer dans les paramètres.

  10. Laissez Type de clé défini sur RSA et Taille de clé RSA défini sur 2048.

  11. Renseignez les autres sélections comme vous le souhaitez, puis sélectionnez Créer.

    Capture d’écran du volet de création de clé, qui s’affiche une fois le bouton Générer/Importer sélectionné.

Ajouter un rôle RBAC Azure

Maintenant que vous avez créé le coffre de clés Azure et une clé, vous devez ajouter un rôle RBAC Azure afin de pouvoir utiliser votre coffre de clés Azure avec votre jeu de chiffrement de disque.

  1. Sélectionnez Contrôle d’accès (IAM) et ajoutez un rôle.
  2. Ajoutez les rôles Administrateur de coffre de clés, Propriétaire ou Contributeur.

Configuration du jeu de chiffrement de disque

  1. Recherchez Ensembles de chiffrement de disque et sélectionnez-le.

  2. Dans le volet Jeux de chiffrement de disque, sélectionnez +Créer.

  3. Sélectionnez votre groupe de ressources, attribuez un nom à votre jeu de chiffrement et sélectionnez la même région que votre coffre de clés.

  4. Pour Type de chiffrement, sélectionnez Chiffrement au repos avec une clé gérée par le client.

    Notes

    Une fois que vous avez créé un jeu de chiffrement de disque avec un type de chiffrement particulier, il n’est plus possible de le modifier. Si vous souhaitez utiliser un type de chiffrement différent, vous devez créer un nouveau jeu de chiffrement de disque.

  5. Vérifiez que l’option Sélectionner un coffre de clés et une clé Azure est sélectionnée.

  6. Sélectionnez le coffre de clés et la clé que vous avez créés précédemment, ainsi que la version.

  7. Si vous souhaitez activer la rotation automatique des clés gérées par le client, sélectionnez Rotation automatique des clés.

  8. Sélectionnez Vérifier + créer, puis Créer.

    Capture d’écran du volet de création du chiffrement de disque montrant l’abonnement, le groupe de ressources, le nom du jeu de chiffrement du disque, la région et le coffre de clés ainsi que le sélecteur de clé.

  9. Accédez au jeu de chiffrement de disque une fois qu’il est déployé, puis sélectionnez l’alerte affichée.

    Capture d’écran de l’utilisateur sélectionnant l’alerte « Pour associer un disque, une image ou un instantané à ce jeu de chiffrement de disque, vous devez octroyer des autorisations au coffre de clés ».

  10. Cela permet d’octroyer les autorisations de coffre de clés au jeu de chiffrement de disque.

    Capture d’écran de confirmation montrant que les autorisations ont bien été octroyées.

Déployer une machine virtuelle

Maintenant que vous avez configuré une instance Azure Key Vault et un jeu de chiffrement de disque, vous pouvez déployer une machine virtuelle qui utilise le chiffrement sur l’hôte.

  1. Connectez-vous au portail Azure.

  2. Recherchez Machines virtuelles et sélectionnez + Ajouter pour créer une machine virtuelle.

  3. Créez une nouvelle machine virtuelle, sélectionnez une région appropriée et une taille de machine virtuelle prise en charge.

  4. Renseignez les autres valeurs du panneau Informations de base à votre guise, puis accédez au panneau Disques.

    Capture d’écran du volet Informations de base de la création de machine virtuelle. La région et la taille de la machine virtuelle sont mises en évidence.

  5. Sur la panneau Disque, sélectionnez Chiffrement au niveau de l’hôte.

  6. Sélectionnez Gestion des clés, puis sélectionnez l’une de vos clés gérées par le client.

  7. Effectuez les sélections restantes comme vous le souhaitez.

    Capture d’écran du volet Disques de création de machine virtuelle, le chiffrement au niveau de l’hôte est mis en surbrillance, les clés gérées par le client sont sélectionnées.

  8. Pour le reste du processus de déploiement de machines virtuelles, effectuez les sélections qui correspondent à votre environnement, puis exécutez le déploiement.

Vous venez de déployer une machine virtuelle avec activation du chiffrement au niveau de l’hôte à l’aide de clés gérées par le client.

Activer le chiffrement basé sur l’hôte

Libérez d’abord votre machine virtuelle, car le chiffrement au niveau de l’hôte ne peut pas être désactivé, sauf si votre machine virtuelle est libérée.

  1. Sur votre machine virtuelle, sélectionnez Disques, puis Paramètres supplémentaires.

    Capture d’écran du volet disques sur une machine virtuelle, des Paramètres supplémentaires sont mis en surbrillance.

  2. Sélectionnez Non pour Chiffrement au niveau de l’hôte, puis sélectionnez Enregistrer.

Étapes suivantes

Exemples de modèles Azure Resource Manager