FAQ sur Azure Disk Encryption pour machines virtuelles Linux

Le service Azure Disk Encryption pour machines virtuelles Linux utilise la fonctionnalité dm-crypt de Linux pour effectuer un chiffrement complet du disque du système d’exploitation* et des disques de données. Il assure en outre le chiffrement des disques temporaires lors de l’utilisation de la fonctionnalité EncryptFormatAll. Le contenu est chiffré à partir de la machine virtuelle vers le serveur back-end de stockage. Donc, un chiffrement de bout en bout est assuré avec une clé gérée par le client.

Consultez Machines virtuelles et systèmes d’exploitation pris en charge.

Azure Disk Encryption pour les machines virtuelles Linux est en disponibilité générale dans toutes les régions publiques Azure.

La disponibilité générale (GA) Azure Disk Encryption prend en charge les modèles Azure Resource Manager, Azure PowerShell et Azure CLI. Les différentes expériences utilisateur vous donnent de la souplesse. Vous disposez de trois options différentes pour activer le chiffrement des disques sur vos machines virtuelles. Pour plus d’informations sur l’expérience utilisateur et pour des instructions étape par étape disponibles dans Azure Disk Encryption, consultez Scénarios Azure Disk Encryption pour Linux.

Il n’y a pas de frais associés au chiffrement des disques de machine virtuelle avec Azure Disk Encryption, mais l’utilisation d’Azure Key Vault engendre des frais. Pour plus d’informations sur les coûts d’Azure Key Vault, consultez la page sur la Tarification de Key Vault.

Pour commencer, consultez la Vue d’ensemble d’Azure Disk Encryption.

L’article Vue d’ensemble d’Azure Disk Encryption liste les tailles de machine virtuelle et les systèmes d’exploitation de machine virtuelle qui prennent en charge Azure Disk Encryption.

Oui, vous pouvez chiffrer les volumes de démarrage et de données, ou vous pouvez chiffrer le volume de données sans avoir à chiffrer au préalable le volume du système d’exploitation.

Une fois que vous avez chiffré le volume du système d’exploitation, la désactivation du chiffrement sur ce volume n’est pas prise en charge. Pour les machines virtuelles Linux dans un groupe identique, seul le volume de données peut être chiffré.

Non, Azure Disk Encryption chiffre uniquement les volumes montés.

Le chiffrement côté serveur de stockage chiffre les disques managés Azure dans Stockage Azure. Les disques managés sont chiffrés par défaut avec le chiffrement côté serveur à l’aide d’une clé gérée par la plateforme (à compter du 10 juin 2017). Vous pouvez gérer le chiffrement des disques managés avec vos propres clés en spécifiant une clé gérée par le client. Pour plus d’informations, consultez les pages suivantes : Chiffrement côté serveur de disques managés Azure.

Azure Disk Encryption assure un chiffrement de bout en bout pour le disque du système d’exploitation, les disques de données et le disque temporaire, à l’aide d’une clé gérée par le client.

• Si vos exigences incluent tout ce qui précède de bout en bout, optez pour Azure Disk Encryption.
• Si vos exigences incluent uniquement le chiffrement des données au repos avec clé gérée par le client, utilisez un chiffrement côté serveur avec clés gérées par le client. Vous ne pouvez pas chiffrer un disque en utilisant Azure Disk Encryption et un chiffrement côté serveur de stockage avec clés gérées par le client.
• Si votre distribution Linux n’est pas listée sous Systèmes d’exploitation pris en charge pour Azure Disk Encryption, ou si vous utilisez un scénario figurant parmi les restrictions, envisagez un chiffrement côté serveur avec clés gérées par le client.
• Si la stratégie de votre organisation vous permet de chiffrer du contenu au repos avec une clé gérée par Azure, aucune action n’est nécessaire. Le contenu est chiffré par défaut. Pour les disques managés, le contenu du stockage est chiffré par défaut à l’aide d’un chiffrement côté serveur avec clé gérée par la plateforme. La clé est gérée par le service Stockage Azure.

Pour effectuer la rotation des secrets, appelez simplement la même commande que celle utilisée initialement pour activer le chiffrement de disque, en spécifiant un autre coffre de clés. Pour effectuer la rotation de la clé de chiffrement principale, appelez la même commande que celle utilisée initialement pour activer le chiffrement de disque, en spécifiant le nouveau chiffrement principal.

Pour ajouter une clé de chiffrement principale, appelez la commande enable à nouveau en y passant le paramètre de clé de chiffrement principale. Pour supprimer une clé de chiffrement principale, appelez la commande enable à nouveau sans le paramètre de clé de chiffrement principale.

Oui, vous pouvez fournir vos propres clés de chiffrement principales. Ces clés sont sauvegardées dans Azure Key Vault, le magasin de clés d’Azure Disk Encryption. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement principales, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.

Oui, vous pouvez utiliser Azure Key Vault pour générer la clé de chiffrement principale pour une utilisation du chiffrement de disques Azure. Ces clés sont sauvegardées dans Azure Key Vault, le magasin de clés d’Azure Disk Encryption. Pour plus d’informations sur la clé de chiffrement principale, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.

Vous ne pouvez pas utiliser le service de gestion de clés local ou HSM pour protéger les clés de chiffrement avec Azure Disk Encryption. Vous pouvez uniquement utiliser le service Azure Key Vault pour sauvegarder les clés de chiffrement. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement principales, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.

Azure Disk Encryption a des prérequis. Consultez l’article Création et configuration d’un coffre de clés pour Azure Disk Encryption pour créer un coffre de clés ou en configurer un existant afin d’activer l’accès au chiffrement de disque et protéger des secrets et des clés. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement principales, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.

Azure Disk Encryption a des prérequis. Consultez l’article Azure Disk Encryption avec Microsoft Entra ID pour créer une application Microsoft Entra, créer un coffre de clés ou en configurer un existant afin d’activer l’accès au chiffrement de disque, et protéger des secrets et des clés. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement à clé, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption avec Microsoft Entra ID.

Oui. Le chiffrement de disque avec une application Microsoft Entra est toujours pris en charge. Toutefois, pour le chiffrement de nouvelles machines virtuelles, nous vous recommandons d’utiliser la nouvelle méthode plutôt que le chiffrement avec une application Microsoft Entra.

Actuellement, il n’y a pas de chemin de migration direct pour les machines chiffrées avec une application Microsoft Entra vers le chiffrement sans application Microsoft Entra. Il n’y a pas non plus de chemin direct entre le chiffrement sans application Microsoft Entra et le chiffrement avec une application AD.

Utilisez la dernière version du Kit de développement logiciel (SDK) Azure PowerShell pour configurer Azure Disk Encryption. Téléchargez la dernière version d’Azure PowerShell. Azure Disk Encryption n’est pas pris en charge par le Kit SDK Azure version 1.1.0.

Pour les scénarios de déploiement d’Azure Resource Manager (ARM) par exemple, où vous avez besoin de déployer l’extension Azure Disk Encryption pour que la machine virtuelle Linux puisse activer le chiffrement sur votre machine virtuelle IaaS Linux, vous devez utiliser l’extension Azure Disk Encryption prise en charge dans les environnements de production « Microsoft.Azure.Security.AzureDiskEncryptionForLinux ».

Vous ne pouvez pas appliquer Azure Disk Encryption sur votre image Linux personnalisée. Seules les images Linux de la galerie pour les distributions prises en charge indiquées précédemment sont prises en charge. Les images Linux personnalisées ne sont actuellement pas prises en charge.

Oui, vous pouvez effectuer une mise à jour Yum sur une machine virtuelle Red Hat Linux. Pour plus d’informations, voir Azure Disk Encryption sur un réseau isolé.

Le workflow suivant est recommandé pour obtenir les meilleurs résultats sur Linux :

• Démarrer à partir de l’image de la galerie de stock non modifié correspondant à la distribution et à la version du système d’exploitation requises
• Sauvegarder tous les lecteurs montés qui seront chiffrés. Cette sauvegarde permet la récupération en cas d’échec, par exemple, si la machine virtuelle est redémarrée avant la fin du chiffrement.
• Chiffrer (opération qui peut prendre plusieurs heures voire même plusieurs jours selon les caractéristiques de machine virtuelle et la taille de tous les disques de données attachés)
• Personnaliser et ajouter des logiciels à l’image selon les besoins.

Si ce flux de travail n’est pas possible, s’appuyer sur le Storage Service Encryption (SSE) au niveau de la couche du compte de stockage de la plateforme peut être une alternative au chiffrement de disque complet avec dm-crypt.

Le « volume Bek » est un volume de données local qui stocke de façon sécurisée les clés de chiffrement pour les machines virtuelles Azure chiffrées.

Azure Disk Encryption utilise la valeur de déchiffrement par défaut aes-xts-plain64 avec une clé principale de volume 256 bits.

Non, les données ne sont pas effacées des lecteurs de données déjà chiffrés à l’aide d’Azure Disk Encryption. De même qu’EncryptFormatAll n’a pas chiffré à nouveau le lecteur du système d’exploitation, il ne chiffre pas à nouveau le lecteur de données déjà chiffré. Pour plus d’informations, consultez les critères pour EncryptFormatAll.

Le chiffrement des disques du système d’exploitation XFS est pris en charge.

Le chiffrement des disques de données XFS est pris en charge uniquement lorsque le paramètre EncryptFormatAll est utilisé. Ce paramètre reformate le volume, effaçant toutes les données qui s’y trouvaient précédemment. Pour plus d’informations, consultez les critères pour EncryptFormatAll.

Le redimensionnement d’un disque de système d’exploitation chiffré ADE n’est pas pris en charge actuellement.

Sauvegarde Azure fournit un mécanisme permettant de sauvegarder et de restaurer les machines virtuelles chiffrées dans le même abonnement et la même région. Pour obtenir les instructions correspondantes, consultez Sauvegarder et restaurer des machines virtuelles chiffrées avec Sauvegarde Azure. La restauration d’une machine virtuelle chiffrée dans une autre région n’est pas prise en charge actuellement.

Vous pouvez poser vos questions ou envoyer vos commentaires sur la Page de questions Microsoft Q&A pour Azure Disk Encryption.

Étapes suivantes

Ce document vous a fourni les réponses aux questions les plus courantes concernant Azure Disk Encryption. Pour plus d'informations sur ce service, consultez les articles suivants :

• Vue d’ensemble d’Azure Disk Encryption
• Appliquer le chiffrement de disque dans Azure Security Center
• Chiffrement des données au repos Azure