Chiffrer des disques avec des clés gérées par le client dans Azure DevTest Labs

Le chiffrement côté serveur protège vos données et vous aide à honorer les engagements de votre entreprise en matière de sécurité et de conformité. SSE chiffre automatiquement vos données stockées sur des disques managés dans Azure (système d’exploitation et disques de données) au repos par défaut lors de leur conservation dans le cloud. En savoir plus sur le chiffrement de disque dans Azure.

Dans DevTest Labs, tous les disques de système d’exploitation et les disques de données créés dans le cadre d’un labo sont chiffrés à l’aide de clés gérées par la plateforme. Toutefois, en tant que propriétaire de labo, vous pouvez choisir de chiffrer des disques de machine virtuelle à l’aide de vos propres clés. Si vous choisissez de gérer le chiffrement avec vos propres clés, vous pouvez spécifier une clé gérée par le client à utiliser pour le chiffrement de données dans les disques du labo. Pour en savoir plus sur le chiffrement côté serveur (SSE) avec des clés gérées par le client et d’autres types de chiffrements de disque managés, consultez Clés gérées par le client. Consultez également Restrictions liées à l’utilisation de clés gérées par le client.

Notes

• Le paramètre s’applique aux disques créés récemment dans le labo. Si vous choisissez de modifier le chiffrement de disque défini à un moment donné, les anciens disques du labo continueront à être chiffrés à l’aide de l’ensemble de chiffrement de disque précédent.

La section suivante explique comment le propriétaire d’un labo peut configurer le chiffrement à l’aide d’une clé gérée par le client.

Conditions préalables

1. Si vous n’avez pas défini de chiffrement de disque, suivez cet article pour configurer un Key Vault et un ensemble de chiffrement de disque. Notez les conditions suivantes pour l’ensemble de chiffrement de disque :

   • L’ensemble de chiffrement de disque doit être dans la même région et le même abonnement que votre labo.
   • Vérifiez que vous (propriétaire du labo) disposez au moins d’un accès en lecture au jeu de chiffrement de disque qui sera utilisé pour chiffrer les disques du labo.

2. Pour les labos créés avant le 01/08/2020, le propriétaire du labo doit vérifier que l’identité affectée par le système du labo est activée. Pour ce faire, le propriétaire du labo peut accéder à son labo, cliquer sur Configuration et stratégies, cliquer sur le panneau Identité (préversion) , modifier l’état de l’identité affectée par le système en le définissant sur Activé, puis cliquer sur Enregistrer. Pour les nouveaux labos créés après le 01/08/2020, l’identité affectée par le système du labo sera activée par défaut.

   

3. Pour que le labo gère le chiffrement de tous ses disques, le propriétaire du labo doit explicitement accorder à l’identité affectée par le système du labo le rôle de lecteur sur le jeu de chiffrement de disque, ainsi que le rôle de contributeur de machine virtuelle sur l’abonnement Azure sous-jacent. Le propriétaire du labo peut le faire en procédant comme suit :

   1. Assurez-vous d’être membre du rôle Administrateur d’accès utilisateur au niveau de l’abonnement Azure afin de pouvoir gérer l’accès des utilisateurs aux ressources Azure.

   2. Dans la page Jeu de chiffrement de disque, affectez au moins le rôle Lecteur au nom du labo pour lequel le jeu de chiffrement de disque sera utilisé.

      Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

   3. Accédez à la page Abonnement dans le portail Azure.

   4. Attribuez le rôle Contributeur de machine virtuelle au nom du labo (identité affectée par le système pour le labo).

Chiffrer des disques de système d’exploitation de labo avec une clé gérée par le client

1. Sur la page d’accueil de votre labo dans le portail Azure, sélectionnez Configuration et stratégies dans le menu de gauche.

2. Sur la page Configuration et stratégies, sélectionnez Disques (version préliminaire) dans la section Chiffrement. Par défaut, Type de chiffrement est défini sur Chiffrement au repos avec la clé gérée par la plateforme.

   

3. Pour Type de chiffrement, sélectionnez Chiffrement au repos avec la clé gérée par le client dans la liste déroulante.

4. Pour Ensemble de chiffrement de disque, sélectionnez l’ensemble de chiffrement de disque créé précédemment. C’est le même ensemble de chiffrement de disque que celui auquel l’identité affectée par le système du labo peut accéder.

5. Sélectionnez Enregistrer dans la barre d’outils.

   

6. Dans la zone de message comportant le texte suivant : Ce paramètre s’applique aux machines créées récemment dans le labo. L’ancien disque du système d’exploitation reste chiffré avec l’ancien ensemble de chiffrement de disque, sélectionnez OK.

   Une fois configurés, les disques du labo sont chiffrés avec la clé gérée par le client fournie lors de l’utilisation du jeu de chiffrement de disque.

Comment vérifier si les disques sont en cours de chiffrement

1. Accédez à une machine virtuelle de labo créée après l’activation du chiffrement de disque avec une clé gérée par le client sur le labo.

   

2. Cliquez sur le groupe de ressources de la machine virtuelle et sur le disque du système d’exploitation.

   

3. Accédez au chiffrement et vérifiez si le chiffrement est défini sur une clé gérée par le client avec le jeu de chiffrement de disque que vous avez sélectionné.

   

Contenu connexe

Voir les articles suivants :

• Azure Disk Encryption.
• Clés gérées par le client