Bonnes pratiques relatives au chiffrement et à la sécurité des données dans Azure

Cet article décrit les bonnes pratiques relatives au chiffrement et à la sécurité des données.

Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure. Les opinions et technologies évoluent au fil du temps ; cet article est régulièrement mis à jour de manière à tenir compte de ces changements.

Protection des données

Pour assurer la protection des données dans le cloud, vous devez tenir compte des états que les données peuvent présenter, mais aussi des contrôles disponibles pour ces états. Les bonnes pratiques pour la sécurité et le chiffrement des données Azure s’apparentent aux états des données suivants :

• Au repos : Ceci inclut tous les objets de stockage, conteneurs et types d’informations présents de manière statique sur un support physique, qu’il s’agisse d’un disque magnétique ou d’un disque optique.
• En transit : lorsque les données sont transférées entre des composants, des emplacements ou des programmes, elles sont considérées en transit. Exemples : transfert sur le réseau, sur un bus des services (du réseau local au cloud et inversement, y compris les connexions hybrides telles que ExpressRoute), ou pendant un traitement d’entrée/sortie.
• En cours d’utilisation : lorsque les données sont traitées, les machines virtuelles de calcul confidentielles spécialisées basées sur AMD et Intel conservent les données chiffrées en mémoire à l’aide de clés gérées par le matériel.

Choisir une solution de gestion des clés

La protection de vos clés est essentielle pour protéger vos données dans le cloud.

Azure Key Vault permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud. Key Vault rationalise le processus de gestion de clés et vous permet de garder le contrôle des clés qui accèdent à vos données et les chiffrent. Les développeurs peuvent créer des clés pour le développement et le test en quelques minutes, puis les migrer en clés de production. Les administrateurs de sécurité peuvent accorder (et annuler) les autorisations sur les clés, si nécessaire.

Vous pouvez utiliser Key Vault pour créer plusieurs conteneurs sécurisés, désignés sous le terme de coffres. Ces coffres s’appuient sur des modules de sécurité matérielle. Les coffres contribuent à réduire les risques de perte accidentelle des informations de sécurité en centralisant le stockage des secrets d’application. En outre, les coffres de clés contrôlent et journalisent l’accès à l’ensemble de leur contenu. Azure Key Vault peut gérer la demande et le renouvellement des certificats TLS (Transport Layer Security). Il offre des fonctionnalités pour une solution robuste de gestion de cycle de vie de certificat.

Azure Key Vault a été conçu pour prendre en charge les clés et les secrets d’application. Il n’est pas destiné à faire office de magasin des mots de passe utilisateur.

Voici les bonnes pratiques de sécurité relatives à l’utilisation de Key Vault.

Bonne pratique : Accordez l’accès aux utilisateurs, aux groupes et aux applications au niveau d’une étendue spécifique. Détail : Utilisez des rôles prédéfinis Azure RBAC. Par exemple, pour autoriser un utilisateur à gérer des coffres de clés, vous devez attribuer un rôle prédéfini Collaborateur de coffre de clés à cet utilisateur dans une étendue spécifique. L’étendue dans ce cas correspond à un abonnement, à un groupe de ressources ou simplement à un coffre de clés spécifique. Si les rôles prédéfinis ne répondent pas à vos besoins, vous pouvez définir vos propres rôles.

Bonne pratique : Contrôlez ce à quoi les utilisateurs ont accès. Détail : L’accès à un coffre de clés est contrôlé via deux interfaces distinctes : le plan de gestion et le plan de données. Les contrôles d’accès au plan de gestion et au plan de données fonctionnent indépendamment.

Utilisez Azure RBAC pour contrôler le contenu auquel ont accès les utilisateurs. Par exemple, si vous souhaitez autoriser une application à utiliser les clés d’un coffre de clés, vous avez seulement besoin de lui accorder des autorisations d’accès au plan de données à l’aide de stratégies d’accès au coffre de clés. Aucun accès au plan de gestion n’est requis pour cette application. À l’inverse, si vous souhaitez qu’un utilisateur puisse lire les propriétés et les balises d’un coffre, mais pas accéder aux clés, secrets ou certificats, vous pouvez lui accorder un accès en lecture à l’aide d’Azure RBAC. Aucun accès au plan de données n’est requis.

Bonne pratique : Stockez les certificats dans votre coffre de clés. Vos certificats ont une grande valeur. Entre de mauvaises mains, la sécurité de votre application ou de vos données peut être compromise. Détail : Azure Resource Manager peut déployer de façon sécurisée des certificats stockés dans Azure Key Vault sur des machines virtuelles Azure quand ces dernières sont déployées. En définissant les stratégies d’accès appropriées pour le coffre de clés, vous contrôlez également qui peut accéder à votre certificat. Le fait que vous puissiez gérer tous vos certificats en un seul endroit dans Azure Key Vault constitue un autre avantage. Pour plus d’informations, consultez Déployer des certificats sur les machines virtuelles à partir de coffres de clés gérés par les clients.

Bonne pratique : Veillez à pouvoir récupérer d’une suppression de coffres de clés ou d’objets de coffres de clés. Détail : La suppression de coffres de clés ou d’objets de coffres de clés peut être faite par inadvertance ou être due à une activité malveillante. Activez les fonctionnalités de suppression réversible et de protection contre le vidage de Key Vault, en particulier pour les clés utilisées pour chiffre des données au repos. La suppression de ces clés est similaire à une perte de données. Vous pouvez donc récupérer des coffres et objets de coffres supprimés si besoin. Effectuez des opérations de récupération Key Vault quotidiennement.

Notes

Si un utilisateur dispose d’autorisations de contributeur (Azure RBAC) pour un plan de gestion d’un coffre de clés, il peut s’accorder à lui-même l’accès au plan de données en définissant une stratégie d’accès au coffre de clés. Il est recommandé de contrôler étroitement quels utilisateurs disposent d’un accès « Collaborateur » à vos coffres de clés afin de vous assurer que seules les personnes autorisées peuvent gérer vos coffres de clés, clés, secrets et certificats.

Gestion de stations de travail sécurisées

Notes

L’administrateur ou le propriétaire de l’abonnement doit utiliser une station de travail avec un accès sécurisé ou privilégié.

Dans la mesure où la grande majorité des atteintes ciblent l’utilisateur final, le point de terminaison devient l’un des principaux points d’attaque. Si un attaquant compromet le point de terminaison, il peut se servir des informations d’identification de l’utilisateur pour accéder aux données de l’organisation. La plupart des attaques visant le point de terminaison exploitent le fait que les utilisateurs occupent le rôle d’administrateur dans leurs stations de travail locales.

Bonne pratique : Utilisez une station de travail de gestion sécurisée pour protéger les comptes, les tâches et les données sensibles. Détail : Utilisez une station de travail avec accès privilégié pour réduire la surface d’attaque au sein des stations de travail. Ces stations de travail de gestion sécurisées peuvent vous aider à limiter certaines attaques, afin d’optimiser la sécurité de vos données.

Bonne pratique : Appliquez une protection aux points de terminaison. Détail : Appliquez des stratégies de sécurité sur l’ensemble des appareils utilisés pour consommer des données, quel que soit l’emplacement de ces dernières (dans le cloud ou en local).

Protection des données au repos

Le chiffrement des données au repos est une étape obligatoire vers la confidentialité, la conformité et la souveraineté des données.

Bonne pratique : Appliquez le chiffrement des disques pour protéger vos données. Détails : consultez Azure Disk Encryption pour les machines virtuelles Linux ou Azure Disk Encryption pour les machines virtuelles Windows. Disk Encryption combine la fonction standard Linux dm-crypt ou Windows BitLocker pour fournir un chiffrement de volume pour le système d'exploitation et les disques de données.

Stockage Azure et Azure SQL Database chiffrent les données au repos par défaut, et de nombreux services offrent le chiffrement en option. Vous pouvez utiliser Azure Key Vault pour garder le contrôle des clés qui accèdent à vos données et les chiffrent. Consultez Prise en charge du modèle de chiffrement des fournisseurs de ressources Azure pour en savoir.

Bonnes pratiques : Utilisez le chiffrement pour réduire les risques d’accès non autorisé aux données. Détail : Chiffrez vos lecteurs avant d’y écrire des données sensibles.

Les organisations qui n’appliquent pas le chiffrement de données sont plus exposées aux problèmes de confidentialité des données. Par exemple, les utilisateurs non autorisés ou non fiables peuvent voler des données dans des comptes compromis ou accéder indûment à des données codées en ClearFormat. Les entreprises doivent prouver leur diligence et utiliser les contrôles de sécurité appropriés pour améliorer la sécurité des données afin de se conformer aux règlementations du secteur.

Protection des données en transit

La protection des données en transit doit être un aspect essentiel de votre stratégie de protection des données. Comme les données transitent entre différents emplacements, dans les deux sens, nous vous recommandons d’utiliser systématiquement les protocoles SSL/TLS pour ces déplacements de données. Dans certains cas, vous souhaiterez isoler l’intégralité du canal de communication entre vos infrastructures locales et sur le cloud, via un réseau privé virtuel (VPN).

Pour les données qui transitent entre votre infrastructure locale et Azure, vous devez envisager le recours aux dispositifs de protection appropriés, comme HTTPS ou VPN. Lors de l’envoi du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public, utilisez la passerelle VPN Azure.

Voici les bonnes pratiques relatives à la passerelle VPN Azure, et les protocoles SSL/TLS et HTTPS.

Bonne pratique : Sécurisez l’accès depuis plusieurs stations de travail locales à un réseau virtuel Azure. Détail : Utilisez un VPN de site à site.

Bonne pratique : Sécurisez l’accès depuis une station de travail locale à un réseau virtuel Azure. Détail : Utilisez un VPN de point à site.

Bonne pratique : Déplacez les jeux de données plus grands via une liaison WAN dédiée à haute vitesse. Détail : Utilisez ExpressRoute. Si vous choisissez d’utiliser ExpressRoute, vous pouvez également chiffrer les données au niveau des applications par le biais de SSL/TLS ou d’autres protocoles pour une protection renforcée.

Bonne pratique : Interagissez avec Stockage Azure via le portail Azure. Détail : Toutes les transactions se font via HTTPS. L’API de stockage REST par le biais de HTTPS peut également être utilisée pour interagir avec le stockage Azure.

Les organisations qui ne parviennent pas à protéger les données en transit sont plus sensibles aux attaques d’intercepteur, aux écoutes électroniques et au piratage de session. Ces attaques peuvent être la première étape d’un processus visant à accéder à des données confidentielles.

Protection des données en cours d’utilisation

Réduire la nécessité d’approuver les charges de travail en cours d’exécution sur le cloud nécessite une approbation. Vous donnez cette approbation à différents fournisseurs en activant différents composants de votre application.

• Fournisseurs de logiciels d’application : Approuvez un logiciel en déployant localement, en utilisant de l’open source ou en créant un logiciel d’application en interne.
• Fournisseurs de matériel : Approuvez du matériel en utilisant du matériel local ou du matériel d’origine interne.
• Fournisseurs d’infrastructure : Approuvez des fournisseurs de cloud ou gérez vos propres centres de données locaux.

Réduire la superficie exposée aux attaques : la base de calcul de confiance (TCB, Trusted Computing Base) fait référence à l’ensemble des composants matériels, des microprogrammes et des logiciels d’un système qui fournissent un environnement sécurisé. Les composants au sein du TCB sont considérés comme « critiques. » Si un composant au sein du TCB est compromis, toute la sécurité du système peut être en péril. Plus le TCB est petit, plus la sécurité est élevée. Il y a moins de risques d’exposition à différentes vulnérabilités, programmes malveillants, attaques et personnes malveillantes.

L’informatique confidentielle Azure peut vous aider à :

• Empêcher les accès non autorisés : Traitez des données sensibles dans le cloud. N’ayez aucun doute sur le fait qu’Azure fournit la meilleure protection possible des données, avec peu ou pas de modifications par rapport à ce qui se fait aujourd’hui.
• Respecter la conformité réglementaire : Migrez vers le cloud et gardez le contrôle total des données de façon à satisfaire aux réglementations légales relatives à la protection des informations personnelles et à la sécurité des adresses IP de l’organisation.
• Garantir une collaboration sécurisée et fiable : Attaquez-vous aux problèmes des travaux à l’échelle du secteur en examinant les données entre différentes organisations, même concurrentes, pour permettre des analyses des données de grande envergure et obtenir des insights plus approfondis.
• Isolez le traitement : Offrez une nouvelle vague de produits qui suppriment la responsabilité légale sur les données privées avec un traitement à l’aveugle. Les données utilisateur ne peuvent même pas être récupérées par le fournisseur de services.

En savoir plus sur l’informatique confidentielle.

Sécuriser des courriers, des documents et des données sensibles

Vous tenez à contrôler et à sécuriser les courriers, les documents et les données sensibles que vous partagez en dehors de votre entreprise. Azure Information Protection est une solution basée sur le cloud aidant une organisation à classer, étiqueter et protéger ses documents et ses courriers. Cela peut être fait automatiquement par les administrateurs qui définissent les règles et les conditions, manuellement par les utilisateurs, ou d’une manière mixte où les utilisateurs reçoivent des recommandations.

La classification est identifiable à tout moment, quel que soit l’endroit où les données sont stockées ou avec qui elles sont partagées. Les étiquettes incluent des marquages visuels tels que les en-têtes, les pieds de page et les filigranes. Les métadonnées sont ajoutées aux en-têtes des courriers et des fichiers en texte en clair. Le texte en clair s’assure que les autres services, tels que les solutions pour éviter la perte de données, puissent identifier la classification et prendre les mesures appropriées.

La technologie de protection utilise Azure Rights Management (Azure RMS). Cette technologie est intégrée à d'autres services et applications cloud de Microsoft, comme Microsoft 365 et Microsoft Entra ID. Cette technologie de protection utilise des stratégies de chiffrement, d’identité et d’autorisation. La protection appliquée à l’aide d’Azure RMS reste associée aux documents et aux courriers, indépendamment de leur emplacement, au sein ou en dehors de votre organisation, des réseaux, des serveurs de fichiers et des applications.

Cette solution de protection des informations vous permet de contrôler vos données, même lorsqu’elles sont partagées avec d’autres personnes. Vous pouvez aussi utiliser Azure RMS avec vos propres applications métier et solutions de protection des informations d’éditeurs de logiciels, qu’elles soient en local ou dans le cloud.

Nous vous recommandons :

• De déployer Azure Information Protection pour votre organisation.
• D’appliquer des étiquettes qui reflètent les besoins de votre entreprise. Par exemple : appliquer une étiquette nommée « strictement confidentiel » à tous vos documents et courriers contenant des données ultrasecrètes, afin de classifier et protéger ces données. Ensuite, seuls les utilisateurs autorisés peuvent accéder à ces données, avec les restrictions que vous spécifiez.
• Configurez la journalisation de l’utilisation d’Azure RMS afin de surveiller l’utilisation du service de protection par votre organisation.

Les organisations bénéficiant d’une classification et d’une protection insuffisantes des données sont plus vulnérables aux fuites ou aux utilisations malveillantes des données. Avec une protection de fichier adaptée, vous pouvez analyser les flux de données pour obtenir des informations sur votre entreprise, détecter des comportements à risque et prendre les mesures correctives adéquates, suivre l’accès aux documents, etc.

Étapes suivantes

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.

Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :

• Blog de l’équipe de sécurité Azure : pour obtenir des informations à jour sur les dernières actualités sur la sécurité Azure
• Centre de réponse aux problèmes de sécurité Microsoft : emplacement où les vulnérabilités de sécurité Microsoft, dont les problèmes rencontrés avec Azure, peuvent être rapportées ou signalées par e-mail à l’adresse secure@microsoft.com