Chiffrement transparent des données pour SQL Database, SQL Managed Instance et Azure Synapse Analytics

S’applique à :Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Transparent Data Encryption (TDE) est une technologie de chiffrement transparent des données qui contribue à protéger Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics contre les menaces d’activités hors connexion malveillantes en chiffrant les données au repos. Il assure le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions au repos, sans que cela nécessite de modifier l’application. Par défaut, TDE est activé pour toutes les bases de données Azure SQL Database nouvellement déployées et il doit être activé manuellement pour les bases de données plus anciennes d’Azure SQL Database. Pour Azure SQL Managed Instance, TDE est activé au niveau de l’instance et sur les bases de données nouvellement créées. TDE doit être activé manuellement pour Azure Synapse Analytics.

Note

Cet article s’applique à Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics (pools SQL dédiés (anciennement SQL DW)). Pour la documentation sur le chiffrement transparent des données pour les pools SQL dédiés à l’intérieur d’espaces de travail Synapse, consultez Chiffrement Azure Synapse Analytics.

Certains éléments considérés comme du contenu client, tels que les noms de tables, les noms d’objets et les noms d’index, peuvent être transmis dans les fichiers journaux pour le support et la résolution des problèmes par Microsoft.

TDE effectue le chiffrement et le déchiffrement des données d’E/S en temps réel au niveau de la page. Chaque page est déchiffrée lorsqu’elle est lue en mémoire, puis chiffrée avant d’être écrite sur le disque. TDE chiffre le stockage d’une base de données entière à l’aide d’une clé symétrique appelée clé de chiffrement de la base de données (« clé DEK »). Au démarrage de la base de données, la clé DEK chiffrée est déchiffrée, puis elle est utilisée pour déchiffrer et rechiffrer les fichiers de la base de données dans le processus du moteur de base de données SQL Server. La clé de chiffrement DEK est protégée par le protecteur TDE. Le protecteur TDE est un certificat géré par le service (chiffrement transparent des données géré par le service) ou une clé asymétrique stockée dans Azure Key Vault ou azure Key Vault Managed HSM (chiffrement transparent des données géré par le client).

Pour Azure SQL Database et Azure Synapse, le protecteur TDE est défini au niveau du serveur logique SQL et est hérité par toutes les bases de données associées à ce serveur. Pour Azure SQL Managed Instance, le protecteur TDE est défini au niveau de l’instance et il est hérité par toutes les bases de données chiffrées sur cette instance. Le terme serveur fait référence à la fois au serveur et à l’instance tout au long de ce document, sauf indication contraire.

Importante

Toutes les bases de données SQL nouvellement créées sont chiffrées par défaut à l’aide du chiffrement transparent des données géré par le service. Lorsque la source de la base de données est chiffrée, les bases de données cibles créées via la restauration, la géoréplication et la copie de base de données sont chiffrées par défaut. Toutefois, lorsque la source de la base de données n'est pas chiffrée, les bases de données cibles créées via la restauration, la géoréplication et la copie de base de données ne sont pas chiffrées par défaut. Les bases de données SQL existantes créées avant mai 2017 et les bases de données SQL Managed Instance existantes créées avant février 2019 ne sont pas chiffrées par défaut. Les bases de données SQL Managed Instance créées par le biais de la restauration héritent de l’état de chiffrement de la source. Pour restaurer une base de données chiffrée par TDE existante, le certificat TDE requis doit d’abord être importé dans l’instance gérée SQL. Pour connaître l'état du chiffrement d'une base de données, exécutez une requête de sélection à partir du DMV sys.dm_database_encryption_keys et vérifiez l'état de la colonne encryption_state_desc.

Note

Vous ne pouvez pas utiliser la technologie TDE pour chiffrer des bases de données système, telle la base de données master, dans SQL Database et SQL Managed Instance. La base de données master contient les objets nécessaires à l’exécution d’opérations TDE sur des bases de données utilisateur. Il est recommandé de ne pas stocker de données sensibles dans des bases de données système. L’exception est tempdb, qui est toujours chiffré avec TDE pour protéger les données qui y sont stockées.

Chiffrement transparent des données géré par le service

Dans Azure, la configuration par défaut de TDE spécifie que la clé de chiffrement de la base de données (DEK) est protégée par un certificat de serveur intégré. Le certificat de serveur intégré est unique pour chaque serveur et l’algorithme de chiffrement utilisé est AES 256 en mode Chaîne de blocs de chiffrement (CBC). Si une base de données figure dans une relation de géoréplication, la base de données primaire et les base de données géo-secondaires sont protégées par la clé du serveur parent de la base de données primaire. Si deux bases de données sont connectées au même serveur, elles partagent également le même certificat intégré. Microsoft fait alterner automatiquement ces certificats une fois par an conformément à la stratégie de sécurité interne et la clé racine est protégée par un magasin des secrets interne Microsoft. Les clients peuvent vérifier la conformité de SQL Database et SQL Managed Instance avec des stratégies de sécurité internes, dans des rapports d’audit tiers indépendants disponibles dans le Centre de gestion de la confidentialité Microsoft.

En outre, Microsoft déplace et gère en toute transparence les clés en fonction des besoins en matière de géoréplication et de restaurations.

Chiffrement transparent des données géré par le client - Bring Your Own Key

Le chiffrement TDE géré par le client est également appelé prise en charge de Bring Your Own Key (BYOK) pour TDE. Dans ce scénario, le protecteur TDE qui chiffre la clé DEK est une clé asymétrique managée par le client, stockée dans une solution Azure Key Vault du client, qui la gère (système d'administration de clés externe d’Azure) et il ne quitte jamais le coffre de clés. Le protecteur TDE peut être généré par le coffre de clés ou transféré vers le coffre de clés à partir d’un appareil HSM local d’un module de sécurité matériel. Les clients peuvent également utiliser Azure Managed HSM pour stocker et gérer le protecteur TDE. SQL Database, SQL Managed Instance et Azure Synapse doivent être autorisés à déchiffrer et chiffrer la DEK dans le coffre de clés appartenant au client. Si des autorisations d’accès du serveur au coffre de clés sont supprimées, une base de données devient inaccessible alors que toutes les données sont chiffrées.

Avec TDE avec l’intégration Azure Key Vault ou Azure Managed HSM, les utilisateurs peuvent contrôler les tâches de gestion des clés, notamment les rotations de clés, les autorisations de coffre de clés, les sauvegardes de clés et activer l’audit/création de rapports sur tous les logiciels de protection TDE à l’aide d’Azure Key Vault ou d’Azure Managed HSM. Azure Key Vault et Azure Managed HSM fournissent une gestion centralisée des clés, tirent parti des modules HSM étroitement surveillés et permettent la séparation des tâches entre la gestion des clés et des données pour vous aider à respecter la conformité aux stratégies de sécurité. Pour en savoir plus sur BYOK pour Azure SQL Database et Azure Synapse, consultez Chiffrement transparent des données avec l’intégration d’Azure Key Vault.

Pour commencer à utiliser TDE avec l’intégration d’Azure Key Vault, consultez le guide pratique pour activer le chiffrement transparent des données à l’aide de votre propre clé à partir d’Azure Key Vault.

Déplacer une base de données protégée par le chiffrement transparent des données

Vous n’avez pas besoin de déchiffrer les bases de données pour leur appliquer des opérations dans Azure. La base de données cible hérite de façon transparente des paramètres de TDE sur la base de données source ou sur la base de données principale. Les opérations incluses sont les suivantes :

• La géorestauration
• Restauration à un moment donné en libre-service
• Restauration d’une base de données supprimée
• La géoréplication active
• Création d’une copie de base de données
• Restauration du fichier de sauvegarde vers Azure SQL Managed Instance

Importante

La sauvegarde manuelle COPY-ONLY d’une base de données chiffrée par un TDE géré par le service n’est pas prise en charge dans Azure SQL Managed Instance, car le certificat utilisé pour le chiffrement n’est pas accessible. Utilisez la fonctionnalité de restauration dans le temps pour déplacer ce type de base de données vers un autre service SQL Managed Instance ou basculer vers une clé gérée par le client.

Lorsque vous exportez une base de données protégée par TDE vers un fichier BACPAC, le contenu exporté de la base de données n’est pas chiffré. Si vous importez dans une base de données vide existante, le chiffrement dépend de l’activation de TDE sur cette base de données ou non. Si une nouvelle base de données est créée pendant l’importation, elle utilise les paramètres TDE par défaut du serveur logique pour Azure SQL Database ou Azure SQL Managed Instance.

Gérer Transparent Data Encryption

Le portail Azure

Gérer TDE dans le portail Azure.

Pour configurer TDE par le biais du portail Azure, vous devez être connecté en tant que Propriétaire, Collaborateur ou Gestionnaire de sécurité SQL Azure.

Activez et désactivez TDE au niveau de la base de données. Pour Azure SQL Managed Instance, utilisez Transact-SQL (T-SQL) pour activer et désactiver TDE sur une base de données. Pour Azure SQL Database et Azure Synapse, vous pouvez gérer TDE pour la base de données dans le portail Azure après vous être connecté avec le compte administrateur ou contributeur Azure. Accédez aux paramètres TDE pour votre base de données utilisateur. Par défaut, la clé de chiffrement au niveau du serveur est utilisée. Un certificat TDE est automatiquement généré pour le serveur qui contient la base de données.

Vous définissez la clé principale TDE, également appelée protecteur TDE, au niveau du serveur ou de l’instance. Pour utiliser TDE avec prise en charge byOK et protéger vos bases de données avec une clé à partir d’Azure Key Vault ou d’Azure Managed HSM, ouvrez les paramètres TDE sous votre serveur ou instance managée.

Vous pouvez également utiliser une clé gérée par le client pour TDE au niveau de la base de données pour Azure SQL Database. Pour plus d’informations, consultez Transparent Data Encryption (TDE) avec des clés gérées par le client au niveau de la base de données.

PowerShell

Gérer TDE à l’aide de PowerShell.

Note

Cet article utilise le module Azure Az PowerShell, qui est le module PowerShell recommandé pour interagir avec Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Importante

Le module Az remplace AzureRM. Tout le développement futur est destiné au module Az.Sql.

Pour configurer TDE par le biais de PowerShell, vous devez être connecté en tant que Propriétaire, Collaborateur ou Gestionnaire de sécurité SQL Azure.

Cmdlets relatives à Azure SQL Database et Azure Synapse

Utilisez les cmdlets suivantes pour Azure SQL Database et Azure Synapse :

Applet de commande	Descriptif
Set-AzSqlDatabaseTransparentDataEncryption	Active ou désactive le chiffrement transparent des données pour une base de données.
Get-AzSqlDatabaseTransparentDataEncryption	Obtient l’état du chiffrement transparent des données pour une base de données.
Add-AzSqlServerKeyVaultKey	Ajoute une clé Azure Key Vault à un serveur.
Get-AzSqlServerKeyVaultKey	Obtient les clés Azure Key Vault pour un serveur
Set-AzSqlServerTransparentDataEncryptionProtector	Définit le protecteur du chiffrement transparent des données pour un serveur.
Get-AzSqlServerTransparentDataEncryptionProtector	Obtient le protecteur du chiffrement transparent des données
Remove-AzSqlServerKeyVaultKey	Supprime une clé Azure Key Vault d’un serveur.

Importante

Pour Azure SQL Managed Instance, utilisez la commande T-SQL ALTER DATABASE pour activer et désactiver TDE au niveau de la base de données, et l’exemple de script PowerShell pour gérer TDE au niveau de l’instance.

Transact-SQL

Gérer TDE à l’aide de Transact-SQL.

Connectez-vous à la base de données à l’aide d’un ID de connexion d’administrateur ou de membre du rôle dbmanager dans la base de données master.

Commande	Descriptif
ALTER DATABASE (Azure SQL Database)	SET ENCRYPTION ON/OFF chiffre ou déchiffre une base de données
sys.dm_database_encryption_keys	Renvoie des informations sur l’état de chiffrement d’une base de données et sur ses clés de chiffrement de base de données associées
sys.dm_pdw_nodes_database_encryption_keys	Renvoie des informations sur l’état de chiffrement de chaque nœud Azure Synapse et de ses clés de chiffrement de base de données associées

Vous ne pouvez pas basculer le protecteur TDE vers une clé provenant d’Azure Key Vault ou d’Azure Managed HSM à l’aide de Transact-SQL. Utilisez PowerShell ou le Portail Azure.

REST API

Gérer TDE à l’aide de l’API REST.

Pour configurer TDE par le biais de l’API REST, vous devez être connecté en tant que Propriétaire, Collaborateur ou Gestionnaire de sécurité SQL Azure. Utilisez l'ensemble de commandes suivant pour Azure SQL Database et Azure Synapse :

Commande	Descriptif
Créer ou mettre à jour un serveur	Ajoute une identité depuis Microsoft Entra ID (anciennement Azure Active Directory) à un serveur. (utilisé pour accorder l’accès à Azure Key Vault)
Créer ou mettre à jour une clé de serveur	Ajoute une clé Azure Key Vault à un serveur.
Supprimer une clé de serveur	Supprime une clé Azure Key Vault d’un serveur.
Obtenir des clés de serveur	Obtient une clé Azure Key Vault spécifique à partir d’un serveur.
Répertorier les clés de serveur par serveur	Obtient les clés Azure Key Vault pour un serveur.
Créer ou mettre à jour le protecteur du chiffrement	Définit le protecteur TDE pour un serveur.
Obtenir le protecteur du chiffrement	Obtient le protecteur TDE pour un serveur.
Répertorier les protecteurs du chiffrement par serveur	Obtient les protecteurs TDE pour un serveur.
Créer ou mettre à jour la configuration du chiffrement transparent des données	Active ou désactive TDE pour une base de données.
Obtenir la configuration du chiffrement transparent des données	Obtient la configuration de TDE pour une base de données.
Répertorier les résultats de configuration du chiffrement transparent des données	Obtient le résultat du chiffrement d’une base de données.

Contenu associé

• Gestion de clés extensible à l’aide d’Azure Key Vault (SQL Server)
• Chiffrement transparent des données
• Chiffrement transparent des données avec prise en charge de Bring Your Own Key
• Activer le chiffrement transparent des données à l’aide de votre propre clé à partir d’Azure Key Vault
• Sécuriser l’accès à un coffre de clés Azure