Double chiffrement
On parle de double chiffrement quand deux couches de chiffrement indépendantes sont activées pour protéger contre les compromissions d’une couche de chiffrement quelconque. L’utilisation de deux couches de chiffrement atténue les menaces associées au chiffrement des données. Par exemple :
- erreurs de configuration dans le chiffrement des données ;
- erreurs d’implémentation dans l’algorithme de chiffrement ;
- compromission d’une clé de chiffrement.
Azure fournit un double chiffrement pour les données au repos et en transit.
Données au repos
L’approche de Microsoft pour activer deux couches de chiffrement pour les données au repos est la suivante :
- Chiffrement au repos à l’aide de clés gérées par le client. Vous pouvez fournir votre propre clé pour le chiffrement des données au repos. Vous pouvez apporter vos propres clés à votre Key Vault (BYOK) ou générer de nouvelles clés dans Azure Key Vault pour chiffrer les ressources souhaitées.
- Chiffrement de l’infrastructure à l’aide de clés gérées par la plateforme. Par défaut, les données sont automatiquement chiffrées au repos à l’aide de clés de chiffrement gérées par la plateforme.
Données en transit
L’approche de Microsoft pour activer deux couches de chiffrement pour des données en transit est la suivante :
- Chiffrement des données en transit à l’aide du protocole TLS (Transport Layer Security) 1.2 afin protéger les données lors de leur déplacement entre les services cloud et vous. Tout le trafic sortant d’un centre de données est chiffré en transit, même si la destination du trafic est un autre contrôleur de domaine situé dans la même région. TLS 1.2 est le protocole de sécurité par défaut utilisé. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.
- Couche supplémentaire de chiffrement fournie au niveau de la couche d’infrastructure. Chaque fois que le trafic du client Azure circule entre différents centres de données (en dehors des limites physiques non contrôlées par Microsoft ou pour le compte de Microsoft), une méthode de chiffrement de la couche liaison des données utilisant les normes de sécurité MAC IEEE 802.1AE (également appelées MACsec) est appliquée point à point sur le matériel réseau sous-jacent. Les paquets sont chiffrés et déchiffrés sur les appareils avant d'être envoyés, ce qui permet d'éviter les attaques physiques de l'intercepteur ou les attaques par snooping/écoutes téléphoniques. Étant donné que cette technologie est intégrée au matériel réseau, elle fournit un chiffrement de débit de ligne sur le matériel réseau sans augmentation mesurable de la latence de la liaison. Ce chiffrement MACsec est activé par défaut pour tout le trafic Azure au sein d’une région ou entre des régions, et aucune intervention des clients n’est nécessaire pour l’activer.
Étapes suivantes
Découvrez comment utiliser le chiffrement dans Azure.