Chiffrement des données dans Azure DocumentDB

Toutes les données gérées par azure DocumentDB sont toujours chiffrées au repos. Ces données incluent toutes les bases de données système et utilisateur, les fichiers temporaires, les journaux et les sauvegardes.

Chiffrement au repos avec une clé gérée par le service (SMK) ou une clé gérée par le client (CMK)

Azure DocumentDB prend en charge deux modes de chiffrement de données au repos : les clés gérées par le service (SMK) et les clés gérées par le client (CMK). Le chiffrement des données avec des clés gérées par le service est le mode par défaut pour Azure DocumentDB. Dans ce mode, le service gère automatiquement les clés de chiffrement utilisées pour chiffrer vos données. Vous n’avez pas besoin d’effectuer d’action pour activer ou gérer le chiffrement dans ce mode.

Dans le mode des clés gérées par le client, vous pouvez apporter votre propre clé de chiffrement pour chiffrer vos données. Lorsque vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Les clés gérées par le client offrent une plus grande flexibilité pour gérer les contrôles d’accès. Vous devez déployer votre propre azure Key Vault et le configurer pour stocker les clés de chiffrement utilisées par votre cluster Azure DocumentDB.

Le mode de configuration peut être sélectionné seulement lors de la création du cluster. Il ne peut être changé d’un mode à l’autre pendant toute la durée de vie du cluster.

Pour obtenir le chiffrement de vos données, Azure DocumentDB utilise le chiffrement côté serveur du stockage Azure pour les données au repos. Lorsque vous utilisez CMK, vous êtes responsable de la fourniture de clés pour le chiffrement et le déchiffrement des données dans les services Stockage Azure. Ces clés doivent être stockées dans un coffre Azure Key Vault.

Avantages fournis par chaque mode (SMK ou CMK)

Le chiffrement des données avec des clés gérées par le service pour Azure DocumentDB offre les avantages suivants :

• Le service contrôle automatiquement et entièrement l’accès aux données.
• Le service contrôle automatiquement et entièrement le cycle de vie de votre clé, y compris la rotation de la clé.
• Vous n’avez pas besoin de vous soucier de la gestion des clés de chiffrement de données.
• Le chiffrement de données basé sur des clés gérées par le service n’a pas d’effet négatif sur les performances de vos charges de travail.
• Il simplifie la gestion des clés de chiffrement (y compris leur rotation régulière) et la gestion des identités utilisées pour accéder à ces clés.

Le chiffrement des données avec des clés gérées par le client pour Azure DocumentDB offre les avantages suivants :

• Vous contrôlez entièrement l’accès aux données. Vous pouvez révoquer une clé pour rendre une base de données inaccessible.
• Vous contrôlez entièrement le cycle de vie d’une clé afin de vous conformer aux stratégies d’entreprise.
• Vous pouvez gérer et organiser de façon centralisée toutes vos clés de chiffrement dans vos propres instances d’Azure Key Vault.
• Le chiffrement de données basé sur des clés gérées par le client n’a pas d’effet négatif sur les performances de vos charges de travail.
• Vous pouvez implémenter une séparation des tâches entre les responsables sécurité, les administrateurs de base de données et les administrateurs système.

Conditions requises concernant les clés gérées par le client

Avec la clé de chiffrement gérée par le client, vous assumez l’entière responsabilité de la maintenance des composants correctement configurés nécessaires au fonctionnement de la CMK. Par conséquent, vous devez déployer votre propre coffre Azure Key Vault et fournir une identité managée affectée par l’utilisateur. Vous devez générer ou importer votre propre clé. Vous devez accorder des autorisations requises sur le coffre de clés afin que votre instance Azure DocumentDB puisse effectuer les actions nécessaires sur la clé. Vous devez vous occuper de la configuration de tous les aspects réseau d’Azure Key Vault dans lesquels la clé est conservée, afin que votre instance Azure DocumentDB puisse accéder à la clé. La vérification des accès à la clé relève également de votre responsabilité.

Lorsque vous configurez des clés gérées par le client pour un cluster Azure DocumentDB pour MonogDB, Stockage Azure encapsule la clé de chiffrement des données racine (DEK) pour le compte avec la clé gérée par le client dans le coffre de clés associé. La protection de la clé de chiffrement racine change, mais les données de votre compte de stockage Azure restent toujours chiffrées. Aucune action supplémentaire n’est requise de votre part pour faire en sorte que vos données soient protégées. La protection par des clés gérées par le client prend effet immédiatement.

Azure Key Vault est un système de gestion de clés externe basé sur le cloud. Elle est hautement disponible et fournit un stockage évolutif et sécurisé pour les clés de chiffrement RSA. Il ne permet pas l’accès direct à une clé stockée, mais fournit des services de chiffrement et de déchiffrement aux entités autorisées. Key Vault peut générer la clé, l’importer ou la recevoir par transfert depuis un appareil HSM local.

Voici la liste des exigences et recommandations relatives à la configuration du chiffrement des données pour Azure DocumentDB :

Coffre de clés

Le coffre de clés utilisé pour la configuration CMK doit répondre aux exigences suivantes :

• Le coffre de clés et Azure DocumentDB doivent appartenir au même locataire Microsoft Entra.
• Recommandation : définissez le paramètre Jours de conservation des coffres supprimés pour le coffre de clés sur 90 jours. Ce paramètre de configuration ne peut être défini qu’au moment de la création du coffre de clés. Une fois qu’une instance est créée, il n’est pas possible de modifier ce paramètre.
• Activez la fonctionnalité soft-delete dans le coffre de clés pour vous protéger contre la perte de données si une clé ou une instance de coffre de clés est supprimée accidentellement. Le coffre de clés conserve les ressources supprimées de manière réversible pendant 90 jours, sauf si l’utilisateur les récupère ou les supprime définitivement dans l’intervalle. Les actions de récupération et de vidage ont leurs propres autorisations associées à un coffre de clés, à un rôle de contrôle d’accès en fonction du rôle (RBAC) ou à une autorisation de stratégie d’accès. La fonctionnalité de suppression réversible est activée par défaut. Si vous avez un coffre de clés qui a été déployé il y a longtemps, il se peut que la suppression réversible soit désactivée. Dans ce cas, vous pouvez l’activer.
• Activez la protection contre la suppression définitive pour appliquer une période de rétention obligatoire pour les coffres et les objets de coffre supprimés.
• Configurez l’accès réseau pour permettre à votre cluster d’accéder à la clé de chiffrement dans le coffre de clés. Utilisez l’une des options de configuration suivantes :
  • Autoriser l’accès public à partir de tous les réseaux permet à tous les hôtes sur Internet d’accéder au coffre de clés.
  • Sélectionnez Désactiver l’accès public et Autoriser les services Microsoft approuvés à contourner ce pare-feu pour désactiver tout accès public, mais pour permettre à votre cluster d’accéder au coffre de clés.

Clé de chiffrement

La clé de chiffrement sélectionnée pour la configuration CMK doit répondre aux exigences suivantes :

• La clé utilisée pour chiffrer la clé de chiffrement de données peut être seulement asymétrique, RSA ou RSA-HSM. Les tailles de clé 2 048, 3 072 et 4 096 sont prises en charge.
  • Recommandation : utilisez une clé 4 096 bits pour une meilleure sécurité.
• La date et l’heure de l’activation de la clé (si elles sont définies) doivent être dans le passé. La date et l’heure d’expiration (si définies) doivent être dans le futur.
• La clé doit être dans l’état Activé.
• Si vous importez une clé existante dans Azure Key Vault, fournissez-la dans l’un des formats de fichier pris en charge (.pfx, .byok ou .backup).

Permissions

Accordez à l’identité managée affectée par l’utilisateur Azure DocumentDB l’accès à la clé de chiffrement :

• Préféré : Azure Key Vault doit être configuré avec le modèle d’autorisation RBAC et l’identité managée doit être affectée au rôle Utilisateur de chiffrement Service chiffrement Key Vault.
• Hérité : si Azure Key Vault est configuré avec le modèle d’autorisation de stratégie d’accès, accordez les autorisations suivantes à l’identité managée :
  • get : pour récupérer les propriétés et la partie publique de la clé dans le coffre de clés.
  • list : pour lister et itérer dans les clés stockées dans le coffre de clés.
  • wrapKey : pour chiffrer la clé de chiffrement de données.
  • unwrapKey : pour déchiffrer la clé de chiffrement de données.

Mises à jour de la version de clé CMK

CMK dans Azure DocumentDB prend en charge les mises à jour automatiques des versions de clés, également appelées clés sans version. Le service Azure DocumentDB récupère automatiquement la nouvelle version de la clé et déchiffre la clé de chiffrement des données. Cette fonctionnalité peut être combinée avec la fonctionnalité de rotation automatique d’Azure Key Vault.

Considérations

Quand vous utilisez une clé gérée par le client pour le chiffrement de données, suivez ces recommandations pour configurer le coffre de clés :

• Pour empêcher la suppression accidentelle ou non autorisée de cette ressource critique, définissez un verrou de ressource Azure sur le coffre de clés.
• Passez en revue et activez les options de disponibilité et de redondance d’Azure Key Vault.
• Activez la journalisation et les alertes sur l’instance Azure Key Vault utilisée pour stocker des clés. Le coffre de clés fournit des journaux d’activité faciles à injecter dans d’autres outils de gestion d’événements et d’informations de sécurité (SIEM). Azure Monitor Logs est un exemple de service déjà intégré.
• Activez l’autorotation de clé. Le service Azure DocumentDB récupère toujours la dernière version de la clé sélectionnée.
• Verrouillez l’accès réseau public à Key Vault en sélectionnant Désactiver l’accès public et Autoriser les services Microsoft approuvés à contourner ce pare-feu.

Note

Après avoir sélectionné Désactiver l’accès public et Autoriser les services Microsoft approuvés à contourner ce pare-feu, vous pouvez obtenir une erreur similaire à ce qui suit lorsque vous essayez d’utiliser l’accès public pour administrer Key Vault via le portail : « Vous avez activé le contrôle d’accès réseau. Seuls les réseaux autorisés ont accès à ce coffre de clés. Cette erreur n’empêche pas la capacité à fournir des clés lors de la configuration de clés gérées par le client ou à récupérer des clés à partir du coffre de clés lors des opérations de cluster.

• Conservez une copie de la clé gérée par le client à un emplacement sécurisé ou déposez-la un service de dépôt.
• Si le coffre de clés génère la clé, créez une sauvegarde de clé avant sa première utilisation. La sauvegarde ne peut être restaurée que dans Key Vault.

Contenu connexe

• Suivez ces étapes pour activer le chiffrement des données au repos avec une clé gérée par le client dans Azure DocumentDB
• Dépanner la configuration de CMK
• Migrer des données vers Azure DocumentDB