Options de chiffrement permettant de protéger les machines virtuelles Windows et Linux
Supposez que les partenaires commerciaux de votre entreprise aient des politiques de sécurité qui exigent que leurs données commerciales soient protégées par un chiffrement complexe. Vous utilisez une application B2B qui s'exécute sur vos serveurs Windows et stocke les données sur le disque de données du serveur. Maintenant que vous passez au cloud, vous devez démontrer à vos partenaires commerciaux que les données stockées sur vos machines virtuelles Azure ne peuvent pas être accessibles par des utilisateurs, périphériques ou applications non autorisés. Vous devez décider d'une stratégie pour implémenter le cryptage de vos données B2B.
Vos exigences en matière d’audit imposent que vos clés de chiffrement soient gérées en interne, et non par une tierce partie. Vous voulez également vérifier que les performances et la facilité de gestion de vos serveurs basés sur Azure sont maintenues. Donc, avant d’implémenter le chiffrement, vous voulez être sûr qu’il n’y aura pas d’impact sur les performances.
Qu’est-ce que le chiffrement ?
Le chiffrement consiste à convertir des informations significatives en quelque chose qui semble dénué de sens, comme une séquence aléatoire de lettres et de chiffres. Le processus de chiffrement utilise une forme de clé pour l’algorithme qui crée les données chiffrées. Une clé est également nécessaire pour effectuer le déchiffrement. Les clés peuvent être symétriques, auquel cas la même clé est utilisée pour le chiffrement et le déchiffrement, ou asymétriques, auquel cas des clés différentes sont utilisées. Les paires de clés publique-privée utilisées dans les certificats numériques en sont un exemple.
Chiffrement symétrique
Les algorithmes qui utilisent des clés symétriques, comme Advanced Encryption Standard (AES), sont généralement plus rapides que les algorithmes à clé publique et sont souvent utilisés pour protéger les grandes banques de données. Étant donné qu’il n'y a qu'une seule clé, des procédures doivent être en place pour éviter que la clé ne soit rendue publique.
Chiffrement asymétrique
Avec les algorithmes asymétriques, seul le membre de la clé privée de la paire de clés doit rester privé et sécurisé ; comme son nom l'indique, la clé publique peut être mise à la disposition de tous, sans compromettre les données cryptées. Cependant, l’inconvénient des algorithmes à clé publique est qu’ils sont beaucoup plus lents que les algorithmes symétriques et qu’ils ne peuvent pas être utilisés pour chiffrer de grands volumes de données.
Gestion des clés
Dans Azure, Microsoft ou le client peut gérer vos clés de chiffrement. Souvent, ce sont les organisations qui ont besoin de se conformer à la loi américaine HIPAA ou à d’autres réglementations qui optent pour une gestion des clés par le client. Cette conformité peut exiger que l’accès aux clés soit consigné dans un journal, et que des changements de clés réguliers soient effectués et enregistrés.
Technologies Azure Disk Encryption (ADE)
Les principales technologies de protection de disque basées sur le chiffrement pour les machines virtuelles Azure sont :
- Azure Storage Service Encryption (SSE)
- Azure Disk Encryption (ADE)
Le chiffrement SSE est effectué sur les disques physiques dans le centre de données. Si quelqu’un décide d’accéder directement au disque physique, les données sont chiffrées. Quand quelqu’un accède aux données du disque, elles sont déchiffrées et chargées en mémoire.
Le chiffrement ADE chiffre les disques durs virtuels de la machine virtuelle. Si le disque dur virtuel est protégé par ADE, l’image de disque est accessible seulement par la machine virtuelle qui est propriétaire du disque.
Il est possible d’utiliser les deux services pour protéger vos données.
Storage Service Encryption
SSE est un service de chiffrement intégré à Azure qui sert à protéger les données au repos. La plateforme de stockage Azure chiffre automatiquement les données avant qu’elles ne soient stockées sur plusieurs services de stockage dont Disques managés Azure. Le chiffrement est activé par défaut avec le chiffrement AES 256 bits et est géré par l’administrateur de compte de stockage.
SSE est activé pour tous les comptes de stockage nouveaux et existants, et il ne peut pas être désactivé. Vos données étant sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti de SSE.
SSE n’affecte pas les performances des services de stockage Azure.
Azure Disk Encryption
Le propriétaire de la machine virtuelle gère ADE. Il contrôle le chiffrement de Windows et des disques contrôlés par machine virtuelle Linux à l’aide de BitLocker sur les machines virtuelles Windows et de DM-Crypt sur les machines virtuelles Linux. BitLocker Drive Encryption est une fonction de protection des données qui s'intègre au système d'exploitation et répond aux menaces de vol de données ou d'exposition des ordinateurs perdus, volés ou mis hors service de manière inappropriée. De même, DM-Crypt chiffre les données au repos pour Linux avant d'écrire dans le stockage.
ADE garantit que toutes les données sur les disques des machines virtuelles sont chiffrées au repos dans le stockage Azure, et ADE est nécessaire pour les machines virtuelles sauvegardées dans le Recovery Vault.
Avec ADE, les machines virtuelles démarrent sous des clés et des stratégies contrôlées par le client. ADE est intégré à Azure Key Vault pour gérer ces clés de chiffrement de disque et ces secrets.
Remarque
ADE ne prend pas en charge le chiffrement des machines virtuelles du niveau de base et vous ne pouvez pas utiliser un service de gestion de clés (KMS) local avec ADE.
Quand utiliser le chiffrement
Les données informatiques sont exposées à un risque pendant qu’elles sont en transit (transmises via Internet ou un autre réseau) et pendant qu’elles sont au repos (enregistrées sur un dispositif de stockage). Le scénario des données au repos est la principale préoccupation quand il s’agit de protéger des données sur des disques de machines virtuelles Azure. Par exemple, quelqu'un peut télécharger le fichier Virtual Hard Disk (VHD) associé à une machine virtuelle Azure, et le sauvegarder sur son ordinateur portable. Si le fichier VHD n'est pas crypté, son contenu est potentiellement accessible à quiconque peut monter le fichier sur son ordinateur.
Pour les disques du système d’exploitation, les données comme les mots de passe sont chiffrées automatiquement : même si le fichier VHD n’est pas lui-même chiffré, il n’est donc pas facile d’accéder à ces informations. Les applications peuvent également chiffrer automatiquement leurs propres données. Cependant, même avec de telles protections, si une personne avec des intentions malveillantes obtient l’accès à un disque de données et que le disque lui-même n’est pas chiffré, elle pourrait alors être en mesure d’exploiter des failles connues dans la protection des données d’application. Une fois le chiffrement de disque en place, ces attaques sont impossibles.
SSE fait partie intégrante d’Azure, et il ne devrait pas y avoir d’impact notable sur les performances des E/S disque d’une machine virtuelle quand SSE est utilisé. Les disques managés avec SSE sont désormais la valeur par défaut, et il n’est normalement pas nécessaire de la modifier. ADE utilise des outils du système d’exploitation des machines virtuelles (BitLocker et DM-Crypt) : la machine virtuelle proprement dite doit donc fournir un certain travail quand le chiffrement ou le déchiffrement est effectué sur des disques de machine virtuelle. L'impact de cette activité supplémentaire d’UC de machine virtuelle est généralement négligeable, sauf dans certaines situations. Par exemple, si vous avez une application sollicitant beaucoup le processeur, il peut être judicieux de laisser le disque du système d’exploitation non chiffré pour maximiser les performances. Dans une telle situation, vous pouvez stocker les données d’application sur un disque de données chiffré distinct, ce qui vous permet d’obtenir les performances dont vous avez besoin sans compromettre la sécurité.
Azure fournit deux technologies de chiffrement complémentaires qui sont utilisées pour sécuriser les disques des machines virtuelles Azure. Ces technologies (SSE et ADE) chiffrent des couches différentes et servent des objectifs différents. Les deux utilisent le chiffrement AES 256 bits. L’utilisation de ces deux technologies offre une protection de défense en profondeur contre tout accès non autorisé à votre stockage Azure et à des disques durs virtuels spécifiques.