Cet article offre des réponses aux questions fréquentes (FAQ) sur Azure Disk Encryption pour les machines virtuelles Windows. Pour plus d’informations sur ce service, consultez Vue d’ensemble d’Azure Disk Encryption.
Qu’est-ce qu’Azure Disk Encryption pour machines virtuelles Windows ?
Le service Azure Disk Encryption pour machines virtuelles Windows utilise la fonctionnalité BitLocker de Windows pour effectuer un chiffrement complet du disque du système d’exploitation et des disques de données. Il assure en outre le chiffrement du disque temporaire lorsque le paramètre VolumeType est défini sur Tous. Le contenu est chiffré à partir de la machine virtuelle vers le serveur back-end de stockage. Donc, un chiffrement de bout en bout est assuré avec une clé gérée par le client.
Consultez Machines virtuelles et systèmes d’exploitation pris en charge.
Où se trouve Azure Disk Encryption en disponibilité générale (GA) ?
Azure Disk Encryption est en disponibilité générale dans toutes les régions publiques Azure.
Quelles expériences utilisateur sont disponibles avec Azure Disk Encryption ?
La disponibilité générale (GA) Azure Disk Encryption prend en charge les modèles Azure Resource Manager, Azure PowerShell et Azure CLI. Les différentes expériences utilisateur vous donnent de la souplesse. Vous disposez de trois options différentes pour activer le chiffrement des disques sur vos machines virtuelles. Pour plus d’informations sur l’expérience utilisateur et pour des instructions étape par étape disponibles dans Azure Disk Encryption, consultez Scénarios Azure Disk Encryption pour Windows.
Combien coûte Azure Disk Encryption ?
Il n’y a pas de frais associés au chiffrement des disques de machine virtuelle avec Azure Disk Encryption, mais l’utilisation d’Azure Key Vault engendre des frais. Pour plus d’informations sur les coûts d’Azure Key Vault, consultez la page sur la Tarification de Key Vault.
Comment puis-je commencer à utiliser Azure Disk Encryption ?
Pour commencer, consultez la Vue d’ensemble d’Azure Disk Encryption.
Quels sont les tailles et les systèmes d’exploitation de machine virtuelle qui prennent en charge Azure Disk Encryption ?
L’article Vue d’ensemble d’Azure Disk Encryption liste les tailles de machine virtuelle et les systèmes d’exploitation de machine virtuelle qui prennent en charge Azure Disk Encryption.
Puis-je chiffrer des volumes de démarrage et de données avec Azure Disk Encryption ?
Vous pouvez chiffrer les volumes de démarrage et de données, mais vous ne pouvez pas chiffrer les données sans avoir chiffré au préalable le volume du système d’exploitation.
Puis-je chiffrer un volume démonté avec Azure Disk Encryption ?
Non, Azure Disk Encryption chiffre uniquement les volumes montés.
Qu’est-ce que le chiffrement côté serveur de stockage ?
Le chiffrement côté serveur de stockage chiffre les disques managés Azure dans Stockage Azure. Les disques managés sont chiffrés par défaut avec le chiffrement côté serveur à l’aide d’une clé gérée par la plateforme (à compter du 10 juin 2017). Vous pouvez gérer le chiffrement des disques managés avec vos propres clés en spécifiant une clé gérée par le client. Pour plus d’informations, consultez Chiffrement côté serveur de disques managés Azure.
En quoi Azure Disk Encryption diffère-t-il du chiffrement côté serveur de stockage avec clé gérée par le client, et quand dois-je utiliser chaque solution ?
Azure Disk Encryption assure un chiffrement de bout en bout pour le disque du système d’exploitation, les disques de données et le disque temporaire en utilisant une clé gérée par le client.
- Si vos exigences incluent tout ce qui précède de bout en bout, optez pour Azure Disk Encryption.
- Si vos exigences incluent uniquement le chiffrement des données au repos avec clé gérée par le client, utilisez un chiffrement côté serveur avec clés gérées par le client. Vous ne pouvez pas chiffrer un disque en utilisant Azure Disk Encryption et un chiffrement côté serveur de stockage avec clés gérées par le client.
- Si vous utilisez un scénario listé dans Restrictions, envisagez d’utiliser le chiffrement côté serveur avec clés gérées par le client.
- Si la stratégie de votre organisation vous permet de chiffrer du contenu au repos avec une clé gérée par Azure, aucune action n’est nécessaire. Le contenu est chiffré par défaut. Pour les disques managés, le contenu du stockage est chiffré par défaut à l’aide d’un chiffrement côté serveur avec clé gérée par la plateforme. La clé est gérée par le service Stockage Azure.
Comment effectuer la rotation des secrets ou des clés de chiffrement ?
Pour effectuer la rotation des secrets, appelez simplement la même commande que celle utilisée initialement pour activer le chiffrement de disque, en spécifiant un autre coffre de clés. Pour effectuer la rotation de la clé de chiffrement principale, appelez la même commande que celle utilisée initialement pour activer le chiffrement de disque, en spécifiant le nouveau chiffrement principal.
Avertissement
- Si vous avez déjà utilisé Azure Disk Encryption avec une application Microsoft Entra en spécifiant des informations d’identification Microsoft Entra pour chiffrer cette machine virtuelle, vous devez continuer à utiliser cette option. L’utilisation d’Azure Disk Encryption sans Microsoft Entra ID sur une machine virtuelle qui a été chiffrée en utilisant Azure Disk Encryption avec Microsoft Entra ID n’est pas encore un scénario pris en charge.
Comment ajouter ou supprimer une clé de chiffrement à clé si je n’en ai pas utilisé à l’origine ?
Pour ajouter une clé de chiffrement principale, appelez la commande enable à nouveau en y passant le paramètre de clé de chiffrement principale. Pour supprimer une clé de chiffrement principale, appelez la commande enable à nouveau sans le paramètre de clé de chiffrement principale.
Quelle taille utiliser pour ma clé de chiffrement à clé (KEK) ?
Windows Server 2022 et Windows 11 comprennent une version plus récente de BitLocker qui ne fonctionne pas avec les clés de chiffrement principales RSA 2048 bits. Tant que ce n’est pas résolu, utilisez des clés de bits RSA 3072 ou RSA 4096, comme décrit dans systèmes d’exploitation pris en charge.
Pour une version antérieure de Windows, vous pouvez utiliser à la place des clés de chiffrement à clé RSA 2048.
Azure Disk Encryption vous permet-il d’apporter votre propre clé « BYOK » ?
Oui, vous pouvez fournir vos propres clés de chiffrement principales. Ces clés sont sauvegardées dans Azure Key Vault, le magasin de clés d’Azure Disk Encryption. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement principales, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.
Puis-je utiliser une clé de chiffrement principale créée par Azure ?
Oui, vous pouvez utiliser Azure Key Vault pour générer la clé de chiffrement principale pour une utilisation du chiffrement de disques Azure. Ces clés sont sauvegardées dans Azure Key Vault, le magasin de clés d’Azure Disk Encryption. Pour plus d’informations sur la clé de chiffrement principale, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.
Puis-je utiliser un service de gestion de clés local ou HSM pour sauvegarder les clés de chiffrement ?
Vous ne pouvez pas utiliser le service de gestion de clés local ou HSM pour protéger les clés de chiffrement avec Azure Disk Encryption. Vous pouvez uniquement utiliser le service Azure Key Vault pour sauvegarder les clés de chiffrement. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement principales, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.
Quels sont les composants requis pour configurer Azure Disk Encryption ?
Azure Disk Encryption a des prérequis. Consultez l’article Création et configuration d’un coffre de clés pour Azure Disk Encryption pour créer un coffre de clés ou en configurer un existant afin d’activer l’accès au chiffrement de disque et protéger des secrets et des clés. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement principales, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption.
Quels sont les prérequis pour configurer Azure Disk Encryption avec une application Microsoft Entra (version précédente) ?
Azure Disk Encryption a des prérequis. Consultez l’article Azure Disk Encryption avec Microsoft Entra ID pour créer une application Microsoft Entra, créer un coffre de clés ou en configurer un existant afin d’activer l’accès au chiffrement de disque, et protéger des secrets et des clés. Pour plus d’informations sur les scénarios de prise en charge des clés de chiffrement à clé, consultez Création et configuration d’un coffre de clés pour Azure Disk Encryption avec Microsoft Entra ID.
Azure Disk Encryption avec une application Microsoft Entra (version précédente) est-il toujours pris en charge ?
Oui. Le chiffrement de disque avec une application Microsoft Entra est toujours pris en charge. Toutefois, pour le chiffrement de nouvelles machines virtuelles, nous vous recommandons d’utiliser la nouvelle méthode plutôt que le chiffrement avec une application Microsoft Entra.
Puis-je migrer des machines virtuelles qui ont été chiffrées avec une application Microsoft Entra vers le chiffrement sans application Microsoft Entra ?
Actuellement, il n’y a pas de chemin de migration direct pour les machines chiffrées avec une application Microsoft Entra vers le chiffrement sans application Microsoft Entra. Il n’y a pas non plus de chemin direct entre le chiffrement sans application Microsoft Entra et le chiffrement avec une application AD.
Quelle version d’Azure PowerShell est prise en charge par Azure Disk Encryption ?
Utilisez la dernière version du Kit de développement logiciel (SDK) Azure PowerShell pour configurer Azure Disk Encryption. Téléchargez la dernière version d’Azure PowerShell. Azure Disk Encryption n’est pas pris en charge par le Kit SDK Azure version 1.1.0.
À quoi correspond le disque « volume Bek » ou « /mnt/azure_bek_disk » ?
Le « volume Bek » est un volume de données local qui stocke de façon sécurisée les clés de chiffrement pour les machines virtuelles Azure chiffrées.
Notes
Vous ne devez pas supprimer ni modifier le contenu de ce disque. Vous ne devez pas non plus démonter ce disque, car les clés de chiffrement qui y sont stockées sont nécessaires pour effectuer les opérations de chiffrement sur les machines virtuelles IaaS.
Quelle méthode de chiffrement Azure Disk Encryption utilise-t-il ?
Azure Disk Encryption sélectionne la méthode de chiffrement dans BitLocker en fonction de la version de Windows comme suit :
| Versions de Windows | Version | Méthode de chiffrement |
|---|---|---|
| Windows Server 2012, Windows 10 ou ultérieur | >=1511 | XTS-AES 256 bits |
| Windows Server 2012, Windows 8, 8.1, 10 | < 1511 | AES 256 bits * |
| Windows Server 2008R2 | AES 256 bits avec diffuseur |
* La version AES 256 bits avec Diffuser n’est pas prise en charge dans Windows 2012 et versions ultérieures.
Pour déterminer la version du système d’exploitation Windows, exécutez l’outil « winver » sur votre machine virtuelle.
Comment sauvegarder et restaurer une machine virtuelle chiffrée ?
La Sauvegarde Azure fournit un mécanisme permettant de sauvegarder et de restaurer les machines virtuelles chiffrées dans le même abonnement et la même région. Pour obtenir les instructions correspondantes, consultez Sauvegarder et restaurer des machines virtuelles chiffrées avec la sauvegarde Azure. La restauration d’une machine virtuelle chiffrée dans une autre région n’est pas prise en charge actuellement.
Où puis-je poser des questions ou envoyer des commentaires ?
Vous pouvez poser vos questions ou envoyer vos commentaires sur la Page de questions Microsoft Q&A pour Azure Disk Encryption.
Étapes suivantes
Ce document vous a fourni les réponses aux questions les plus courantes concernant Azure Disk Encryption. Pour plus d'informations sur ce service, consultez les articles suivants :