Utilisez le portail Azure pour activer le chiffrement de bout en bout à l’aide du chiffrement sur l’hôte
S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows
Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Pour obtenir des informations conceptuelles sur le chiffrement sur l'hôte et sur d'autres types de chiffrement de disques managés, consultez : Chiffrement sur l'hôte : chiffrement de bout en bout pour vos données de machine virtuelle.
Les disques temporaires et les disques de système d’exploitation éphémères sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement de disque que vous avez sélectionné pour le disque de système d’exploitation. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement de disque que vous avez sélectionné. Par exemple, si un disque est chiffré avec des clés gérées par le client, le cache du disque est chiffré avec les clés gérées par le client et, si un disque est chiffré à l’aide de clés gérées par la plateforme, le cache du disque est chiffré avec les clés gérées par la plateforme.
Restrictions
- Prise en charge pour les disques Ultra de taille de secteur 4k et SSD Premium v2.
- Pris en charge seulement sur les disques Ultra de taille de secteur 512e et SSD Premium v2 s’ils ont été créés après le 13/05/2023.
- Pour les disques créés avant cette date, réalisez un instantané de votre disque et créez un disque en utilisant l’instantané.
- Activation impossible sur les machines virtuelles ou les groupes de machines virtuelles identiques pour lesquels le service Azure Disk Encryption est ou a été activé.
- Azure Disk Encryption ne peut pas être activé sur les disques sur lesquels le chiffrement est activé sur l’hôte.
- Le chiffrement peut être activé sur des groupes de machines virtuelles identiques existants. Toutefois, seules les nouvelles machines virtuelles créées après l’activation du chiffrement sont automatiquement chiffrées.
- Les machines virtuelles existantes doivent être libérées et réallouées afin d’être chiffrées.
Tailles des machines virtuelles prises en charge
Les tailles de machines virtuelles héritées ne sont pas prises en charge. Vous pouvez trouver la liste des tailles de machines virtuelles prises en charge dans le module Azure PowerShell ou Azure CLI.
Prérequis
Vous devez activer la fonctionnalité dans votre abonnement pour pouvoir utiliser le chiffrement au niveau de l’hôte sur votre machine virtuelle ou votre groupe de machines virtuelles identiques. Pour activer la fonctionnalité pour votre abonnement, procédez comme suit :
Portail Azure: Sélectionnez l’icône Cloud Shell dans le portail Azure :
Exécutez la commande suivante pour inscrire la fonctionnalité pour votre abonnement
Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
Vérifiez que l’état de l’inscription est Inscrit (l’inscription peut prendre quelques minutes) en utilisant la commande suivante avant d’essayer la fonctionnalité.
Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"
Déployer une machine virtuelle avec clés gérées par la plateforme
Connectez-vous au portail Azure.
Recherchez Machines virtuelles, puis sélectionnez + Créer pour créer une machine virtuelle.
Sélectionnez une région appropriée et une taille de machine virtuelle prise en charge.
Renseignez les autres valeurs du volet Informations de base comme vous le souhaitez, puis accédez au volet Disques.
Sur la panneau Disque, sélectionnez Chiffrement au niveau de l’hôte.
Effectuez les sélections restantes comme vous le souhaitez.
Pour le reste du processus de déploiement de machines virtuelles, effectuez les sélections qui correspondent à votre environnement, puis exécutez le déploiement.
Vous venez de déployer une machine virtuelle avec activation du chiffrement au niveau de l’hôte. Le cache du disque est chiffré à l’aide de clés gérées par la plateforme.
Déployer une machine virtuelle avec des clés gérées par le client
Vous pouvez également utiliser des clés gérées par le client pour chiffrer vos caches disque.
Créer un coffre de clés Azure et un jeu de chiffrement de disque
Une fois la fonctionnalité activée, vous devez configurer un coffre de clés Azure et un jeu de chiffrement de disque, si ce n’est pas déjà fait.
La configuration des clés gérées par le client pour vos disques vous oblige à créer des ressources dans un ordre particulier si vous les utilisez pour la première fois. Vous devez d’abord créer et configurer un coffre de clés Azure Key Vault.
Configurer votre coffre de clés Azure
Connectez-vous au portail Azure.
Recherchez et sélectionnez Coffre de clés.
Important
Pour que le déploiement aboutisse, votre jeu de chiffrement de disque, les machines virtuelles, les disques et les captures instantanées doivent tous se trouver dans la même région et le même abonnement. Les instances d’Azure Key Vault Azure peuvent être utilisées à partir d’un autre abonnement, mais doivent se trouver dans la même région et le même locataire que votre jeu de chiffrement de disque.
Sélectionnez +Créer pour créer un nouveau Coffre de clés.
Créez un groupe de ressources.
Entrez un nom de coffre de clés, sélectionnez une région, puis sélectionnez un niveau tarifaire.
Notes
Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection de purge garantit qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de rétention n’est pas écoulée. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.
Sélectionnez Vérifier + créer, vérifiez vos choix, puis sélectionnez Créer.
Une fois que votre coffre de clés a terminé le déploiement, sélectionnez-le.
Sélectionnez Clés sous Objets.
Sélectionnez Générer/Importer.
Laissez Type de clé défini sur RSA et Taille de clé RSA défini sur 2048.
Renseignez les autres sélections comme vous le souhaitez, puis sélectionnez Créer.
Ajouter un rôle RBAC Azure
Maintenant que vous avez créé le coffre de clés Azure et une clé, vous devez ajouter un rôle RBAC Azure afin de pouvoir utiliser votre coffre de clés Azure avec votre jeu de chiffrement de disque.
- Sélectionnez Contrôle d’accès (IAM) et ajoutez un rôle.
- Ajoutez les rôles Administrateur de coffre de clés, Propriétaire ou Contributeur.
Configuration du jeu de chiffrement de disque
Recherchez Ensembles de chiffrement de disque et sélectionnez-le.
Dans le volet Jeux de chiffrement de disque, sélectionnez +Créer.
Sélectionnez votre groupe de ressources, attribuez un nom à votre jeu de chiffrement et sélectionnez la même région que votre coffre de clés.
Pour Type de chiffrement, sélectionnez Chiffrement au repos avec une clé gérée par le client.
Notes
Une fois que vous avez créé un jeu de chiffrement de disque avec un type de chiffrement particulier, il n’est plus possible de le modifier. Si vous souhaitez utiliser un type de chiffrement différent, vous devez créer un nouveau jeu de chiffrement de disque.
Vérifiez que l’option Sélectionner un coffre de clés et une clé Azure est sélectionnée.
Sélectionnez le coffre de clés et la clé que vous avez créés précédemment, ainsi que la version.
Si vous souhaitez activer la rotation automatique des clés gérées par le client, sélectionnez Rotation automatique des clés.
Sélectionnez Vérifier + créer, puis Créer.
Accédez au jeu de chiffrement de disque une fois qu’il est déployé, puis sélectionnez l’alerte affichée.
Cela permet d’octroyer les autorisations de coffre de clés au jeu de chiffrement de disque.
Déployer une machine virtuelle
Maintenant que vous avez configuré une instance Azure Key Vault et un jeu de chiffrement de disque, vous pouvez déployer une machine virtuelle qui utilise le chiffrement sur l’hôte.
Connectez-vous au portail Azure.
Recherchez Machines virtuelles et sélectionnez + Ajouter pour créer une machine virtuelle.
Créez une nouvelle machine virtuelle, sélectionnez une région appropriée et une taille de machine virtuelle prise en charge.
Renseignez les autres valeurs du panneau Informations de base à votre guise, puis accédez au panneau Disques.
Sur la panneau Disque, sélectionnez Chiffrement au niveau de l’hôte.
Sélectionnez Gestion des clés, puis sélectionnez l’une de vos clés gérées par le client.
Effectuez les sélections restantes comme vous le souhaitez.
Pour le reste du processus de déploiement de machines virtuelles, effectuez les sélections qui correspondent à votre environnement, puis exécutez le déploiement.
Vous venez de déployer une machine virtuelle avec activation du chiffrement au niveau de l’hôte à l’aide de clés gérées par le client.
Activer le chiffrement basé sur l’hôte
Libérez d’abord votre machine virtuelle, car le chiffrement au niveau de l’hôte ne peut pas être désactivé, sauf si votre machine virtuelle est libérée.
Sur votre machine virtuelle, sélectionnez Disques, puis Paramètres supplémentaires.
Sélectionnez Non pour Chiffrement au niveau de l’hôte, puis sélectionnez Enregistrer.