Chiffrement dans la Sauvegarde Azure

Article
06/01/2023

La sauvegarde Azure chiffre automatiquement toutes vos données sauvegardées lors du stockage dans le cloud à l’aide du chiffrement de stockage Azure, ce qui vous aide à respecter vos engagements en matière de sécurité et de conformité. Ces données au repos sont chiffrées à l’aide du chiffrement AES 256 bits (l’un des chiffrements par blocs les plus puissants actuellement disponibles, conforme à la norme FIPS 140-2). Outre, toutes vos données de sauvegarde en transit sont transférées via HTTPS. Elles restent toujours sur le réseau principal Azure.

Cet article décrit les niveaux de chiffrement dans Sauvegarde Azure qui permet de protéger vos données sauvegardées.

Niveaux de chiffrement

Sauvegarde Azure inclut un chiffrement sur deux niveaux :

Niveau de chiffrement	Description
Chiffrement des données dans le coffre Recovery Services	- Utilisation de clés gérées par la plateforme : Par défaut, toutes vos données sont chiffrées à l’aide de clés gérées par la plateforme. Vous n’avez aucune action explicite à effectuer pour activer ce chiffrement. Il s’applique à toutes les charges de travail sauvegardées dans votre coffre Recovery Services. - Utilisation de clés gérées par le client : Lors de la sauvegarde de vos machines virtuelles Azure, vous pouvez désormais chiffrer vos données à l’aide de clés de chiffrement détenues et gérées par vous. Sauvegarde Azure vous permet d’utiliser vos clés RSA stockées dans le coffre Azure Key Vault pour le chiffrement de vos sauvegardes. La clé de chiffrement utilisée pour le chiffrement des sauvegardes peut être différente de celle utilisée pour la source. Les données sont protégées à l’aide d’une clé de chiffrement des données basée sur l’algorithme AES 256, qui est à son tour protégée à l’aide de vos clés. Cela vous donne un contrôle total sur les données et les clés. Pour permettre le chiffrement, il est nécessaire que le coffre Recovery Services accède à la clé de chiffrement dans Azure Key Vault. Vous pouvez désactiver la clé ou révoquer l’accès à tout moment. Toutefois, vous devez activer le chiffrement à l’aide de vos clés avant d’essayer de protéger les éléments du coffre. En savoir plus ici. - Chiffrement au niveau de l’infrastructure : En plus du chiffrement de vos données dans le coffre Recovery Services avec des clés gérées par le client, vous pouvez aussi demander à ce qu’une couche de chiffrement supplémentaire soit configurée sur l’infrastructure de stockage. Ce chiffrement de l’infrastructure est géré par la plateforme. Conjugué au chiffrement au repos basé sur les clés gérées par le client, il permet un chiffrement à deux couches de vos données de sauvegarde. Le chiffrement d’infrastructure ne peut être configuré que si vous choisissez d’abord d’utiliser vos propres clés pour le chiffrement au repos. Le chiffrement d’infrastructure utilise des clés gérées par la plateforme pour chiffrer les données.
Chiffrement spécifique de la charge de travail en cours de sauvegarde	- Sauvegarde de machine virtuelle Azure : Le service Sauvegarde Azure prend en charge la sauvegarde de machines virtuelles avec des disques chiffrés à l’aide de clés gérées par la plateforme, ainsi que de clés gérées par le client qui sont en votre possession. Par ailleurs, vous pouvez également sauvegarder vos machines virtuelles Azure dont le système d’exploitation ou les disques de données sont chiffrés à l’aide d’Azure Disk Encryption. ADE utilise BitLocker pour les machines virtuelles Windows et DM-Crypt pour les machines virtuelles Linux afin d’effectuer un chiffrement dans l’invité. - La sauvegarde des base de données compatibles avec TDE est prise en charge. Pour restaurer une base de données chiffrée avec TDE sur un autre serveur SQL Server, vous devez d’abord restaurer le certificat sur le serveur de destination. La compression de sauvegarde pour les bases de données compatibles TDE pour SQL Server 2016 et les versions plus récentes est disponible, mais à une taille de transfert inférieure, comme expliqué ici.

Niveau de chiffrement

Description

Chiffrement des données dans le coffre Recovery Services

- Utilisation de clés gérées par la plateforme : Par défaut, toutes vos données sont chiffrées à l’aide de clés gérées par la plateforme. Vous n’avez aucune action explicite à effectuer pour activer ce chiffrement. Il s’applique à toutes les charges de travail sauvegardées dans votre coffre Recovery Services.

- Utilisation de clés gérées par le client : Lors de la sauvegarde de vos machines virtuelles Azure, vous pouvez désormais chiffrer vos données à l’aide de clés de chiffrement détenues et gérées par vous. Sauvegarde Azure vous permet d’utiliser vos clés RSA stockées dans le coffre Azure Key Vault pour le chiffrement de vos sauvegardes. La clé de chiffrement utilisée pour le chiffrement des sauvegardes peut être différente de celle utilisée pour la source. Les données sont protégées à l’aide d’une clé de chiffrement des données basée sur l’algorithme AES 256, qui est à son tour protégée à l’aide de vos clés. Cela vous donne un contrôle total sur les données et les clés. Pour permettre le chiffrement, il est nécessaire que le coffre Recovery Services accède à la clé de chiffrement dans Azure Key Vault. Vous pouvez désactiver la clé ou révoquer l’accès à tout moment. Toutefois, vous devez activer le chiffrement à l’aide de vos clés avant d’essayer de protéger les éléments du coffre. En savoir plus ici.

- Chiffrement au niveau de l’infrastructure : En plus du chiffrement de vos données dans le coffre Recovery Services avec des clés gérées par le client, vous pouvez aussi demander à ce qu’une couche de chiffrement supplémentaire soit configurée sur l’infrastructure de stockage. Ce chiffrement de l’infrastructure est géré par la plateforme. Conjugué au chiffrement au repos basé sur les clés gérées par le client, il permet un chiffrement à deux couches de vos données de sauvegarde. Le chiffrement d’infrastructure ne peut être configuré que si vous choisissez d’abord d’utiliser vos propres clés pour le chiffrement au repos. Le chiffrement d’infrastructure utilise des clés gérées par la plateforme pour chiffrer les données.

Chiffrement spécifique de la charge de travail en cours de sauvegarde

- Sauvegarde de machine virtuelle Azure : Le service Sauvegarde Azure prend en charge la sauvegarde de machines virtuelles avec des disques chiffrés à l’aide de clés gérées par la plateforme, ainsi que de clés gérées par le client qui sont en votre possession. Par ailleurs, vous pouvez également sauvegarder vos machines virtuelles Azure dont le système d’exploitation ou les disques de données sont chiffrés à l’aide d’Azure Disk Encryption. ADE utilise BitLocker pour les machines virtuelles Windows et DM-Crypt pour les machines virtuelles Linux afin d’effectuer un chiffrement dans l’invité.

- La sauvegarde des base de données compatibles avec TDE est prise en charge. Pour restaurer une base de données chiffrée avec TDE sur un autre serveur SQL Server, vous devez d’abord restaurer le certificat sur le serveur de destination. La compression de sauvegarde pour les bases de données compatibles TDE pour SQL Server 2016 et les versions plus récentes est disponible, mais à une taille de transfert inférieure, comme expliqué ici.

Étapes suivantes

Chiffrement du stockage Azure pour les données au repos
FAQ sur le service Sauvegarde Azure pour toute question concernant le chiffrement

Chiffrement dans la Sauvegarde Azure

Niveaux de chiffrement

Étapes suivantes

Ressources supplémentaires