Sécurité et chiffrement des données dans Azure Data Manager for Energy

  • Article

Cet article fournit une vue d’ensemble des fonctionnalités de sécurité dans Azure Data Manager for Energy. Il couvre les principaux domaines du chiffrement au repos, du chiffrement en transit, du protocole TLS, du protocole HTTP, des clés managées par Microsoft et des clés gérées par le client.

Chiffrer des données au repos

Azure Data Manager for Energy utilise plusieurs ressources de stockage pour stocker les métadonnées, les données utilisateur, les données en mémoire, etc. La plateforme utilise le chiffrement côté service pour chiffrer automatiquement toutes les données lorsqu’elles sont conservées dans le cloud. Le chiffrement des données au repos protège vos données et vous aide à répondre aux engagements de votre organisation en matière de sécurité et de conformité. Toutes les données dans Azure Data Manager for Energy sont chiffrées avec des clés gérées par Microsoft par défaut. En plus de la clé gérée par Microsoft, vous pouvez utiliser votre propre clé de chiffrement pour protéger les données dans Azure Data Manager for Energy. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé managée par Microsoft qui chiffre vos données.

Chiffrer les données en transit

Azure Data Manager for Energy prend en charge le protocole TLS 1.2 (Transport Layer Security) pour protéger les données lorsqu’elles transitent entre les services cloud et les clients. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de l’interception et de la falsification des messages), l’interopérabilité et la flexibilité des algorithmes.

En plus du protocole TLS, lorsque vous interagissez avec Azure Data Manager for Energy, toutes les transactions sont effectuées via HTTPS.

Configurer des clés gérées par le client (CMK) pour Azure Data Manager for Energy instance

Important

Vous ne pouvez pas modifier les paramètres cmk une fois le instance Azure Data Manager pour Energy créé.

Prérequis

Étape 1 : Configurer le coffre de clés

  1. Vous pouvez utiliser un coffre de clés nouveau ou existant pour stocker les clés gérées par le client. Pour en savoir plus sur Azure Key Vault, consultez Vue d’ensemble d’Azure Key Vault et Qu’est-ce qu’Azure Key Vault ?.

  2. L’utilisation de clés gérées par le client avec Azure Data Manager for Energy nécessite que la suppression réversible et la protection contre le vidage soient activées pour le coffre de clés. Lorsque vous créez un coffre de clés, la suppression réversible est activée par défaut et vous ne pouvez pas la désactiver. Vous pouvez activer la protection contre le vidage lorsque vous créez le coffre de clés ou après la création de celui-ci.

  3. Pour en savoir plus sur la création d’un coffre de clés via le portail Azure, consultez Démarrage rapide : Créer un coffre de clés avec le portail Azure. Lorsque vous créez le coffre de clés, sélectionnez Activer la protection de purge.

    Capture d’écran de l’activation de la protection de purge et de la suppression réversible lors de la création d’un coffre de clés

  4. Pour activer la protection contre le vidage sur un coffre de clés existant, procédez comme suit :

    1. Accédez à votre coffre de clés dans le portail Azure.
    2. Sous Paramètres, choisissez Propriétés.
    3. Dans la section Protection de purge, choisissez Activer la protection de purge.

Étape 2 : Ajouter une clé

  1. Ensuite, ajoutez une clé au coffre de clés.
  2. Pour savoir comment ajouter une clé avec le portail Azure, consultez Démarrage rapide : Définir et récupérer une clé dans Azure Key Vault avec le portail Azure.
  3. Il est recommandé que la taille de clé RSA soit 3072. Consultez Configurer des clés gérées par le client pour votre compte Azure Cosmos DB | Microsoft Learn.

Étape 3 : Choisir une identité managée pour autoriser l’accès au coffre de clés

  1. Lorsque vous activez des clés gérées par le client pour un azure Data Manager pour Energy instance vous devez spécifier une identité managée qui sera utilisée pour autoriser l’accès au coffre de clés qui contient la clé. L’identité managée doit être autorisée à accéder à la clé dans le coffre de clés.
  2. Vous pouvez créer une identité managée affectée par l’utilisateur.

Configurer les clés gérées par le client pour un compte existant

  1. Créez un instance Azure Data Manager pour Energy.
  2. Sélectionnez l’onglet Chiffrement.

Capture d’écran de l’onglet Chiffrement lors de la création d’Azure Data Manager for Energy.

  1. Sous l’onglet Chiffrement, sélectionnez Clés gérées par le client (CMK).

  2. Pour utiliser la CMK, vous devez sélectionner le coffre de clés dans lequel la clé est stockée.

  3. Pour Clé de chiffrement, sélectionnez « Sélectionner un coffre de clés et une clé ».

  4. Choisissez ensuite « Sélectionner un coffre de clés et une clé ».

  5. Ensuite, sélectionnez le coffre de clés et la clé.

    Capture d’écran montrant la sélection de l’abonnement, du coffre de clés et de la clé dans le volet droit qui s’ouvre après avoir choisi « Sélectionner un coffre de clés et une clé »

  6. Ensuite, sélectionnez l’identité managée affectée par l’utilisateur qui sera utilisée pour autoriser l’accès au coffre de clés qui contient la clé.

  7. Sélectionnez « Sélectionner une identité d’utilisateur ». Sélectionnez l’identité managée affectée par l’utilisateur que vous avez créée dans les prérequis.

Capture d’écran du coffre de clés, de la clé, de l’identité affectée par l’utilisateur et de la CMK sous l’onglet Chiffrement

  1. Cette identité affectée par l’utilisateur doit disposer des autorisations Obtenir, Lister, Inclure la clé et Ne pas inclure la clé sur le coffre de clés. Pour plus d’informations sur l’attribution de stratégies d’accès Azure Key Vault, consultez Attribuer une stratégie d’accès Key Vault.

    Capture d’écran de la stratégie d’accès Obtenir, Lister, Inclure la clé et Ne pas inclure la clé

  2. Vous pouvez également sélectionner « Entrer la clé à partir de l’URI » pour Clé de chiffrement. La protection de purge et la suppression réversible doivent obligatoirement être activées pour la clé. Vous devrez le confirmer en cochant la case indiquée ci-dessous.

    Capture d’écran de l’URI du coffre de clés pour le chiffrement

  3. Ensuite, sélectionnez « Vérifier + créer » après avoir terminé les autres onglets.

  4. Sélectionnez le bouton « Créer ».

  5. Un instance Azure Data Manager pour Energy est créé avec des clés gérées par le client.

  6. Une fois la CMK activée, son état est visible sur l’écran Vue d’ensemble.

    Capture d’écran de cmk activée sur la page vue d’ensemble d’Azure Data Manager for Energy.

  7. Vous pouvez accéder à Chiffrement et constater que la CMK est activée avec l’identité gérée par l’utilisateur.

    Capture d’écran des paramètres CMK désactivés une fois Azure Data Manager pour Energy instance installé.

Étapes suivantes

Pour en savoir plus sur Private Links :

Guide pratique pour configurer des liaisons privées