Vue d’ensemble des options de chiffrement des disques managés
Il existe plusieurs types de chiffrement disponibles pour vos disques managés, y compris Azure Disk Encryption (ADE), le chiffrement côté serveur (SSE) et le chiffrement sur l’hôte.
Le chiffrement côté serveur du Stockage sur disque Azure (également appelé « chiffrement au repos » ou « chiffrement du Stockage Azure ») est toujours activé et chiffre automatiquement les données stockées sur les disques managés Azure (disques de système d’exploitation et de données) et persistantes sur les clusters de stockage. Lorsqu’il est configuré avec un jeu de chiffrement de disque (DES, Disk Encryption Set), il prend également en charge les clés gérées par le client. Il ne chiffre ni les disques temporaires ni les caches de disque. Pour obtenir tous les détails, consultez Chiffrement côté serveur de stockage sur disque Azure.
Le chiffrement sur l’hôte est une option de machine virtuelle qui améliore le chiffrement côté serveur du Stockage sur disque Azure. Elle garantit que tous les disques temporaires et les caches de disque sont chiffrés au repos et que le flux à destination des clusters de stockage est chiffré. Pour des détails complets, consultez Chiffrement sur l’hôte : chiffrement de bout en bout pour vos données de machine virtuelle.
Azure Disk Encryption vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. ADE chiffre les disques de système d’exploitation et de données de machines virtuelles Azure dans vos machines virtuelles en utilisant la fonctionnalité DM-Crypt de Linux ou la fonctionnalité BitLocker de Windows. ADE est intégré à Azure Key Vault pour vous aider à contrôler et gérer les clés et secrets de chiffrement de disque, avec la possibilité de chiffrer avec une clé de chiffrement de clé (KEK). Pour obtenir tous les détails, consultez Azure Disk Encryption pour les machines virtuelles Linux ou Azure Disk Encryption pour les machines virtuelles Windows.
Le chiffrement de disque confidentiel lie les clés de chiffrement de disque au module de plateforme sécurisée (TPM) de la machine virtuelle et rend le contenu du disque protégé accessible uniquement à la machine virtuelle. L’état invité de machine virtuelle et du module de plateforme sécurisée (TPM) est toujours chiffré dans le code attesté à l’aide de clés publiées par un protocole sécurisé qui contourne l’hyperviseur et le système d’exploitation hôte. Actuellement uniquement disponible pour le disque de système d’exploitation, la prise en charge du disque temporaire est en préversion. Le chiffrement sur l’hôte peut être utilisé pour d’autres disques sur une machine virtuelle confidentielle en plus du chiffrement de disque confidentiel. Pour plus d’informations, consultez Machines virtuelles confidentielles des séries DCasv5 et ECasv5.
Le chiffrement fait partie d’une approche multicouche de la sécurité. Il doit être utilisé conjointement à d’autres recommandations afin de sécuriser les machines virtuelles et leurs disques. Pour plus d’informations, consultez Recommandations de sécurité pour les machines virtuelles dans Azure et Restreindre l’accès à l’importation/exportation de disques managés à l’aide d’Azure Private Link.
Comparaison
Voici une comparaison du chiffrement SSE du Stockage sur disque, du chiffrement ADE, du chiffrement sur l’hôte et du chiffrement de disque confidentiel.
| Chiffrement côté serveur du Stockage sur disque Azure | Chiffrement sur l’hôte | Azure Disk Encryption | Chiffrement de disque confidentiel (disque du système d’exploitation uniquement) | |
|---|---|---|---|---|
| Chiffrement au repos (disques de système d’exploitation et de données) | ✅ | ✅ | ✅ | ✅ |
| Chiffrement de disque temporaire | ❌ | ✅ Prise en charge uniquement avec la clé gérée par la plateforme | ✅ | ✅En préversion |
| Chiffrement des caches | ❌ | ✅ | ✅ | ✅ |
| Données transmises chiffrées entre le calcul et le stockage | ❌ | ✅ | ✅ | ✅ |
| Contrôle des clés par le client | ✅ Lorsqu’il est configuré avec DES | ✅ Lorsqu’il est configuré avec DES | ✅ Lorsqu’il est configuré avec KEK | ✅ Lorsqu’il est configuré avec DES |
| Prise en charge de HSM | Azure Key Vault Premium et HSM managé | Azure Key Vault Premium et HSM managé | Azure Key Vault Premium | Azure Key Vault Premium et HSM managé |
| N’utilise pas le processeur de votre machine virtuelle | ✅ | ✅ | ❌ | ❌ |
| Fonctionne pour les images personnalisées | ✅ | ✅ | ❌ Ne fonctionne pas pour les images Linux personnalisées | ✅ |
| Protection de clé améliorée | ❌ | ❌ | ❌ | ✅ |
| État de chiffrement de disque de Microsoft Defender pour le cloud* | Unhealthy | Healthy | Healthy | Non applicable |
Important
Pour le chiffrement de disque confidentiel, Microsoft Defender pour le cloud n’a actuellement aucune recommandation applicable.
* Microsoft Defender pour le cloud propose les recommandations de chiffrement de disque suivantes :
- Le chiffrement doit être activé sur l’hôte pour les machines virtuelles et les groupes de machines virtuelles identiques (détecte uniquement le chiffrement sur l’hôte)
- Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage (détecte uniquement Azure Disk Encryption)
- Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost (détecte à la fois Azure Disk Encryption et EncryptionAtHost)
- Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost (détecte à la fois Azure Disk Encryption et EncryptionAtHost)
Étapes suivantes
- Azure Disk Encryption pour les machines virtuelles Linux
- Azure Disk Encryption pour les machines virtuelles Windows
- Chiffrement côté serveur de stockage sur disque Azure
- Chiffrement sur l’hôte
- Machines virtuelles confidentielles des séries DCasv5 et ECasv5
- Notions de base de la sécurité Azure – Présentation du chiffrement Azure