Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Microsoft Azure comprend des outils pour protéger les données en fonction des besoins de sécurité et de conformité de votre entreprise. Cet article se concentre sur :
- Comment les données sont protégées au repos dans Microsoft Azure.
- Les différents composants qui participent à l’implémentation de la protection des données.
- Avantages et inconvénients des différentes approches de protection de gestion des clés.
Le chiffrement au repos est une exigence de sécurité courante. Dans Azure, les données sont chiffrées au repos par défaut à l’aide de clés gérées par la plateforme. Cette approche fournit aux organisations un chiffrement automatique sans risque ni coût d’une solution de gestion de clés personnalisée. Les organisations peuvent s’appuyer sur Azure pour gérer complètement le chiffrement au repos à l’aide de clés gérées par la plateforme, ou utiliser des clés gérées par le client lorsqu’elles ont besoin d’un contrôle supplémentaire sur les clés de chiffrement et les stratégies de gestion des clés.
Qu’est-ce que le chiffrement au repos ?
Le chiffrement est l’encodage sécurisé des données utilisées pour protéger la confidentialité des données. Les conceptions de chiffrement au repos dans Azure utilisent le chiffrement symétrique pour chiffrer et déchiffrer rapidement de grandes quantités de données en fonction d’un modèle conceptuel simple :
- Une clé de chiffrement symétrique chiffre les données telles qu’elles sont écrites dans le stockage.
- La même clé de chiffrement déchiffre ces données lorsqu'elles sont prêtes à être utilisées en mémoire.
- Les données peuvent être partitionnée et différentes clés peuvent être utilisées pour chaque partition.
- Les clés doivent être stockées dans un emplacement sécurisé doté du contrôle d’accès basé sur l’identité et de stratégies d’audit. Si les clés de chiffrement de données sont stockées en dehors des emplacements sécurisés, elles sont chiffrées à l’aide d’une clé de chiffrement de clé conservée dans un emplacement sécurisé.
Dans la pratique, les scénarios de gestion et de contrôle des clés, ainsi que les garanties de scalabilité et de disponibilité, nécessitent des mécanismes supplémentaires. Les sections suivantes décrivent le chiffrement Microsoft Azure au repos et les composants.
Objectif du chiffrement au repos
Le chiffrement au repos protège les données stockées (au repos). Les attaques contre les données au repos incluent des tentatives d’obtention d’un accès physique au matériel où les données sont stockées, puis de compromettre les données contenues. Dans une telle attaque, le disque dur d’un serveur peut être mal géré pendant la maintenance, ce qui permet à un attaquant de supprimer le disque dur. Plus tard, l’attaquant place le disque dur sur un ordinateur sous leur contrôle pour tenter d’accéder aux données.
Le chiffrement au repos est conçu pour empêcher l’attaquant d’accéder aux données non chiffrées en garantissant que les données sont chiffrées quand elles sont sur le disque. Si un attaquant récupère un disque dur comprenant des données chiffrées, mais qu’il ne dispose pas des clés de chiffrement, il doit résoudre le chiffrement pour lire les données. Ce type d’attaque est beaucoup plus complexe et laborieux comparé aux attaques de données non chiffrées sur un disque dur. Pour cette raison, le chiffrement au repos est fortement recommandé et constitue une exigence de haute priorité pour de nombreuses organisations.
Les besoins d’une organisation en matière de gouvernance et de conformité des données peuvent également nécessiter le chiffrement au repos. Les réglementations sectorielles et gouvernementales telles que HIPAA, PCI et FedRAMP, posent des garanties spécifiques concernant la protection des données et les exigences de chiffrement. Le chiffrement au repos est une mesure obligatoire nécessaire à la conformité avec certaines de ces réglementations. Pour plus d’informations sur l’approche de Microsoft en matière de validation FIPS 140-2, consultez la publication FIPS (Federal Information Processing Standard) 140-2.
Non seulement le chiffrement au repos répond aux exigences de conformité et aux obligations réglementaires, mais il fournit une défense en profondeur. Microsoft Azure fournit une plateforme conforme destinée aux services, aux applications et aux données. Il fournit également une sécurité complète des équipements et des éléments physiques, un contrôle d’accès aux données et des fonctionnalités d’audit. Toutefois, il est important de fournir des mesures de sécurité « qui se chevauchent » supplémentaires en cas d’échec de l’une des autres mesures de sécurité. Le chiffrement au repos fournit une telle mesure de sécurité.
Microsoft s’engage à fournir des options de chiffrement au repos sur les services cloud et à donner aux clients le contrôle des clés de chiffrement et la journalisation de l’utilisation des clés. En outre, Microsoft s’emploie à mettre en œuvre par défaut le chiffrement au repos de toutes les données des clients.
Options de gestion des clés
Azure fournit deux approches principales pour gérer les clés de chiffrement :
Clés gérées par la plateforme (par défaut) ( également appelées clés gérées par le service) : Azure gère automatiquement tous les aspects de la gestion des clés de chiffrement, notamment la génération de clés, le stockage, la rotation et la sauvegarde. Cette approche fournit un chiffrement au repos avec une configuration zéro requise par les clients et est activée par défaut dans les services Azure. Les clés gérées par la plateforme offrent le niveau de commodité le plus élevé et ne nécessitent aucun coût supplémentaire ni surcharge de gestion.
Clés gérées par le client (facultatif) : les clients qui ont besoin d’un meilleur contrôle sur leurs clés de chiffrement peuvent choisir de gérer leurs propres clés à l’aide d’Azure Key Vault ou d’Azure Managed HSM. Cette approche permet aux clients de contrôler le cycle de vie des clés, les stratégies d’accès et les opérations de chiffrement. Les clés gérées par le client fournissent un contrôle supplémentaire au coût d’une responsabilité et d’une complexité accrues de la gestion.
Le choix entre ces approches dépend des exigences de sécurité, des besoins de conformité et des préférences opérationnelles de votre organisation. La plupart des organisations peuvent s’appuyer sur des clés gérées par la plateforme pour une protection de chiffrement robuste, tandis que les organisations ayant des exigences réglementaires ou de sécurité spécifiques peuvent opter pour des clés gérées par le client.
Composants de chiffrement des données au repos dans Azure
Comme décrit précédemment, l’objectif du chiffrement au repos est que les données persistantes sur le disque sont chiffrées avec une clé de chiffrement secrète. Pour atteindre cet objectif de clés sécurisées, il est nécessaire de disposer d’un système permettant la création, le stockage, le contrôle d’accès et la gestion des clés de chiffrement. Bien que les détails varient, les implémentations de chiffrement des services Azure au repos peuvent être décrites en termes illustrés dans le diagramme suivant.
Azure Key Vault
L’emplacement de stockage des clés de chiffrement et le contrôle d’accès à ces clés sont fondamentaux pour un modèle de chiffrement au repos. Vous devez sécuriser hautement les clés, mais les rendre gérables par les utilisateurs spécifiés et disponibles pour des services spécifiques. Pour les services Azure, Azure Key Vault est la solution de stockage des clés recommandée et offre une expérience de gestion commune entre les services. Vous stockez et gérez des clés dans des coffres de clés, et vous pouvez accorder aux utilisateurs ou aux services l’accès à un coffre de clés. Azure Key Vault prend en charge la création de clés par les clients ou l’importation de clés des clients pour les utiliser dans des scénarios où les clés de chiffrement sont gérées par ces clients.
Microsoft Entra ID (système d'identification de Microsoft)
Vous pouvez autoriser les comptes Microsoft Entra à utiliser les clés stockées dans Azure Key Vault, soit pour les gérer, soit pour y accéder pour le chiffrement au repos et le déchiffrement.
Chiffrement d’enveloppe avec une hiérarchie de clés
Vous utilisez plusieurs clés de chiffrement dans une implémentation de chiffrement au repos. Le stockage d’une clé de chiffrement dans Azure Key Vault garantit l’accès sécurisé aux clés et la gestion centralisée des clés. Toutefois, l’accès local du service aux clés de chiffrement est plus efficace pour le chiffrement et le déchiffrement en bloc que d’interagir avec Key Vault pour chaque opération de données, ce qui permet un chiffrement renforcé et de meilleures performances. La limitation de l’utilisation d’une clé de chiffrement unique réduit le risque que la clé soit compromise et le coût de rechiffrement lorsqu’une clé doit être remplacée. Les modèles de chiffrement Azure au repos utilisent un chiffrement d’enveloppe où une clé de chiffrement à clé chiffre une clé de chiffrement de données. Ce modèle forme une hiérarchie de clés mieux adaptée pour répondre aux exigences en matière de performances et de sécurité :
- Clé de chiffrement de données (DEK) : clé AES256 symétrique utilisée pour chiffrer une partition ou un bloc de données, parfois simplement appelée clé de données. Une seule ressource peut avoir de nombreuses partitions et de nombreuses clés de chiffrement de données. Le chiffrement de chaque bloc de données avec une clé différente rend les attaques d’analyse du chiffrement plus difficiles. Garder les clés DEK locales à l'intérieur du service qui chiffre et déchiffre les données maximise les performances.
- Clé de chiffrement à clé (KEK) : clé de chiffrement utilisée pour chiffrer les clés de chiffrement de données à l’aide d’un chiffrement d’enveloppe, également appelé encapsulation. En utilisant une clé de chiffrement de clé qui ne quitte jamais Key Vault, vous pouvez chiffrer et contrôler les clés de chiffrement de données. L’entité qui a accès à la clé KEK peut être différente de l’entité qui requiert la clé DEK. Une entité peut broker l’accès à la clé DEK pour limiter l’accès de chaque DEK à une partition spécifique. Étant donné que la clé KEK est requise pour déchiffrer les clés DEK, les clients peuvent effacer par chiffrement les clés et les données en désactivant la clé KEK.
Les fournisseurs de ressources et les instances d’application stockent les clés de chiffrement de données chiffrées en tant que métadonnées. Seule une entité ayant accès à la clé de chiffrement principale peut déchiffrer ces clés de chiffrement des données. Différents modèles de stockage des clés sont pris en charge. Pour plus d’informations, consultez les modèles de chiffrement de données.
Chiffrement au repos dans les services cloud Microsoft
Vous utilisez les services Cloud Microsoft dans les trois modèles cloud : IaaS, PaaS et SaaS. Les exemples suivants montrent comment ils s’adaptent à chaque modèle :
- Services logiciels, appelés SaaS ou Software as a Service, qui ont des applications fournies par le cloud, comme Microsoft 365.
- Services de plateforme dans lesquels les clients utilisent le cloud pour des services tels que les fonctionnalités de stockage, d’analyse et de bus de service dans leurs applications.
- Services d’infrastructure, appelés IaaS ou Infrastructure as a Service, dans lesquels le client déploie des systèmes d’exploitation et des applications qui sont hébergés dans le cloud, et tirant éventuellement parti d’autres services cloud.
Chiffrement au repos pour les clients SaaS
Les clients SaaS (Software as a Service) ont généralement le chiffrement au repos activé ou disponible dans chaque service. Microsoft 365 propose plusieurs options permettant aux clients de vérifier ou d’activer le chiffrement au repos. Pour plus d’informations sur les services Microsoft 365, consultez l’article dédié au chiffrement dans Microsoft 365.
Chiffrement au repos pour les clients PaaS
Les clients PaaS (Platform as a Service) stockent généralement leurs données dans un service de stockage tel que le stockage Blob. Toutefois, les données peuvent également être mises en cache ou stockées dans l’environnement d’exécution de l’application, comme une machine virtuelle. Pour connaître les options de chiffrement au repos disponibles, consultez le tableau Modèles de chiffrement des données pour les plateformes de stockage et d’applications que vous utilisez.
Chiffrement au repos pour les clients IaaS
Les clients IaaS (Infrastructure as a Service) peuvent utiliser divers services et applications. Les services IaaS peuvent activer le chiffrement au repos dans leurs machines virtuelles hébergées par Azure à l’aide du chiffrement sur l’hôte.
Stockage chiffré
Comme pour PaaS, les solutions IaaS peuvent tirer parti d’autres services Azure qui stockent les données chiffrées au repos. Dans ces cas, vous pouvez activer la prise en charge du chiffrement au repos telle que fournie par chaque service Azure consommé. Les modèles de chiffrement des données énumèrent les principales plateformes de stockage, de services et d’applications et le modèle de chiffrement au repos pris en charge.
Calcul chiffré
Tous les disques managés, captures instantanées et images sont chiffrés par défaut à l’aide du chiffrement du service de stockage avec des clés gérées par la plateforme. Ce chiffrement par défaut ne nécessite aucune configuration du client ni coût supplémentaire. Une solution de chiffrement plus complète garantit que toutes les données ne sont jamais conservées sous forme non chiffrée. Lors du traitement des données sur une machine virtuelle, le système peut conserver des données dans le fichier d’échange Windows (page file) ou le fichier swap Linux, dans un vidage sur incident (crash dump) ou dans un journal applicatif. Pour garantir que ces données sont également chiffrées au repos, les applications IaaS peuvent utiliser le chiffrement sur l’hôte sur une machine virtuelle IaaS Azure, qui utilise par défaut des clés gérées par la plateforme, mais peuvent éventuellement être configurées avec des clés gérées par le client pour un contrôle supplémentaire.
Chiffrement au repos personnalisé
Dans la mesure du possible, les applications IaaS doivent tirer parti du chiffrement au niveau de l’hôte et du chiffrement au repos, fournies par tous les services Azure consommés. Dans certains cas, comme les exigences de chiffrement irrégulières ou le stockage non azure, un développeur d’une application IaaS peut avoir besoin d’implémenter le chiffrement au repos eux-mêmes. Les développeurs de solutions IaaS peuvent mieux s’intégrer à la gestion d’Azure et répondre aux attentes des clients en tirant parti de certains composants Azure. Plus précisément, les développeurs doivent utiliser le service Azure Key Vault pour fournir un stockage de clés sécurisé, ainsi que fournir à leurs clients des options de gestion de clés cohérentes avec celles des services de plateforme Azure. En outre, les solutions personnalisées doivent utiliser des identités de service gérées par Azure pour permettre aux comptes de service d’accéder aux clés de chiffrement. Pour plus d’informations sur Azure Key Vault et les identités de service gérées, les développeurs peuvent consulter leurs SDK respectifs.
Prise en charge du modèle de chiffrement par les fournisseurs de ressources Azure
Les services Microsoft Azure prennent chacun en charge un ou plusieurs modèles de chiffrement au repos. Toutefois, pour certains services, un ou plusieurs des modèles de chiffrement peuvent ne pas être applicables. Pour les services qui prennent en charge les scénarios de clés gérés par le client, ils peuvent uniquement prendre en charge un sous-ensemble des types de clés pris en charge par Azure Key Vault pour les clés de chiffrement de clé. En outre, les services peuvent publier la prise en charge de ces scénarios et types clés selon des planifications différentes. Cette section décrit la prise en charge du chiffrement au repos au moment de la rédaction de ce document pour chacun des principaux services de stockage de données Azure.
Chiffrement de disque de machine virtuelle Azure
Tout client utilisant des fonctionnalités IaaS (Infrastructure as a Service) Azure peut chiffrer au repos leurs disques de machine virtuelle IaaS via le chiffrement sur l’hôte. Pour plus d’informations, consultez Chiffrement sur l’hôte - Chiffrement de bout en bout pour votre machine virtuelle.
Azure Storage
Tous les services stockage Azure (Stockage Blob, Stockage File d’attente, Stockage Table et Azure Files) prennent en charge le chiffrement côté serveur au repos et certains services prennent également en charge le chiffrement côté client.
- Côté serveur (par défaut) : tous les services de stockage Azure activent automatiquement le chiffrement côté serveur par défaut à l’aide de clés gérées par la plateforme. Ce chiffrement est transparent pour l’application et ne nécessite aucune configuration. Pour plus d’informations, consultez Azure Storage Service Encryption pour les données au repos. Les clients peuvent éventuellement choisir d’utiliser des clés gérées par le client dans Azure Key Vault pour un contrôle supplémentaire. Pour plus d’informations, consultez Chiffrement du service de stockage à l’aide de clés gérées par le client dans Azure Key Vault.
- Côté client (facultatif) : Les objets blob, les tables et les files d’attente Azure prennent en charge le chiffrement côté client pour les clients qui doivent chiffrer les données avant qu’elles atteignent Azure. Lors de l’utilisation du chiffrement côté client, les clients chiffrent les données et les chargent sous la forme d’un objet blob chiffré. La gestion des clés est effectuée par le client. Pour plus d’informations, consultez Chiffrement côté client et Azure Key Vault pour le stockage Microsoft Azure.
Azure SQL Database
Azure SQL Database prend actuellement en charge le chiffrement au repos pour les scénarios de chiffrement côté service géré par la plateforme et côté client.
La prise en charge du chiffrement côté serveur est actuellement fournie par la fonctionnalité SQL nommée Transparent Data Encryption. Une fois qu’un client Azure SQL Database active Transparent Data Encryption, les clés sont créées et gérées automatiquement pour lui. Vous pouvez activer le chiffrement au repos au niveau de la base de données et du serveur. À compter de juin 2017, Transparent Data Encryption (TDE) est activé par défaut sur les bases de données nouvellement créées. Azure SQL Database prend également en charge les clés RSA 2048 bits gérées par le client dans Azure Key Vault. Pour plus d’informations, voir Transparent Data Encryption avec prise en charge de BYOK pour Azure SQL Database et Data Warehouse.
Le chiffrement côté client des données Azure SQL Database est pris en charge via la fonctionnalité Always Encrypted. Always Encrypted utilise une clé que le client crée et stocke. Les clients peuvent stocker la clé principale dans un magasin de certificats Windows, dans Azure Key Vault ou dans un module de sécurité matériel local. Avec SQL Server Management Studio, les utilisateurs SQL choisissent quelle clé ils veulent utiliser pour quelle colonne.
Conclusion
La protection des données des clients stockées au sein des services Azure est d’une importance capitale pour Microsoft. Tous les services hébergés Azure s’engagent à fournir des options de chiffrement au repos. Les services Azure prennent en charge les clés gérées par la plateforme, les clés gérées par le client ou le chiffrement côté client. Les services Azure améliorent largement le chiffrement au repos et de nouvelles options sont prévues pour la préversion et la disponibilité générale au cours des prochains mois.
Étapes suivantes
- Consultez les modèles de chiffrement des données pour en savoir plus sur les clés gérées par la plateforme et les clés gérées par le client.
- Découvrez comment Azure utilise le double chiffrement pour atténuer les menaces qui accompagnent le chiffrement des données.
- Découvrez ce que Microsoft fait pour garantir l’intégrité et la sécurité de la plateforme des hôtes parcourant les pipelines du matériel et des microprogrammes, des intégrations, des opérationnalisations et des réparations.