Déterminer le chiffrement du Stockage Azure

  • 4 minutes

Le chiffrement du Stockage Azure pour les données au repos protège vos données en respectant les engagements de votre organisation en matière de sécurité et de conformité. Les processus de chiffrement et de déchiffrement se produisent automatiquement. Vos données étant sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications.

Quand vous créez un compte de stockage, Azure génère 2 clés d’accès 512 bits pour ce compte. Ces clés peuvent être utilisées pour autoriser l’accès aux données de votre compte de stockage via l’autorisation de clé partagée ou via des jetons SAP signés avec la clé partagée.

Microsoft vous recommande d’utiliser Azure Key Vault pour gérer vos clés d’accès, ainsi que de permuter et de regénérer régulièrement vos clés. L’utilisation d’Azure Key Vault facilite la permutation de vos clés sans interruption de vos applications. Vous pouvez également permuter manuellement vos clés.

Points à connaître sur le chiffrement du Stockage Azure

Examinez les caractéristiques suivantes du chiffrement du Stockage Azure.

  • Les données sont chiffrées automatiquement avant d’être écrites dans Stockage Azure.

  • Les données sont déchiffrées automatiquement quand elles sont extraites.

  • Le chiffrement du Stockage Azure, le chiffrement au repos, le déchiffrement et la gestion des clés sont transparents pour les utilisateurs.

  • Toutes les données écrites dans le Stockage Azure sont chiffrées avec le chiffrement AES (Advanced Encryption Standard) 256 bits. AES (Advanced Encryption Standard) est l’un des chiffrements par blocs les plus sécurisés.

  • Azure Disk Encryption est activé pour tous les comptes de stockage nouveaux et existants, et il ne peut pas être désactivé.

Configurer le chiffrement du Stockage Azure

Dans le portail Azure, vous configurez le chiffrement du Stockage Azure en spécifiant le type de chiffrement. Vous pouvez gérer les clés vous-même ou utiliser des clés gérées par Microsoft. Tenez compte de la façon dont vous pouvez implémenter le chiffrement du Stockage Azure pour la sécurité de votre stockage.

Capture d’écran montrant le chiffrement du Stockage Azure, notamment les clés gérées par Microsoft et les clés gérées par le client.

  • Chiffrement d’infrastructure Le chiffrement d’infrastructure peut être activé pour l’ensemble du compte de stockage ou pour une étendue de chiffrement au sein d’un compte. Quand le chiffrement d’infrastructure est activé pour un compte de stockage ou une étendue de chiffrement, les données sont chiffrées deux fois – une fois au niveau du service et une fois au niveau de l’infrastructure – avec deux algorithmes de chiffrement distincts et deux clés différentes.

  • Clés gérées par la plateforme (PMK) Les clés gérées par la plateforme (PMK) sont des clés de chiffrement qui sont entièrement générées, stockées et gérées par Azure. Les clients n’interagissent pas avec les PMK. Les clés utilisées pour Chiffrement des données au repos Azure, par exemple, sont des PMK par défaut.

  • Clés gérées par le client. Les clés gérées par le client (CMK) sont quant à elles des clés lues, créées, supprimées, mises à jour et/ou administrées par un ou plusieurs clients. Les clés stockées dans un coffre de clés ou un module de sécurité matériel (HSM) appartenant au client sont des CMK. BYOK (Bring Your Own Key) est un scénario CMK dans lequel un client importe (apporte) des clés depuis un emplacement de stockage extérieur.