Activer le double chiffrement au niveau de l’infrastructure stockage Azure
Stockage Azure chiffre automatiquement toutes les données d’un compte de stockage au niveau du service à l’aide du chiffrement AES 256 bits, qui est l’un des chiffrements de blocs les plus forts disponibles et conforme à FIPS 140-2. Les clients qui nécessitent des niveaux plus élevés d’assurance que leurs données sont sécurisées peuvent également activer le chiffrement AES 256 bits au niveau de l’infrastructure stockage Azure pour le double chiffrement. Le double chiffrement des données stockage Azure protège contre un scénario où l’un des algorithmes ou clés de chiffrement peut être compromis. Dans ce scénario, la couche supplémentaire de chiffrement continue de protéger vos données.
Le chiffrement d’infrastructure peut être activé pour l’ensemble du compte de stockage ou pour une étendue de chiffrement au sein d’un compte. Lorsque le chiffrement de l’infrastructure est activé pour un compte de stockage ou une étendue de chiffrement, les données sont chiffrées deux fois ( une fois au niveau du service et une fois au niveau de l’infrastructure) avec deux algorithmes de chiffrement différents et deux clés différentes.
Le chiffrement au niveau du service prend en charge l’utilisation de clés gérées par Microsoft ou de clés gérées par le client avec Azure Key Vault ou le modèle HSM (Managed Hardware Security Model). Le chiffrement au niveau de l’infrastructure s’appuie sur des clés gérées par Microsoft et utilise toujours une clé distincte.
Pour chiffrer deux fois vos données, vous devez d’abord créer un compte de stockage ou une étendue de chiffrement configurée pour le chiffrement d’infrastructure.
Le chiffrement de l’infrastructure est recommandé pour les scénarios où doublement le chiffrement des données est nécessaire pour les exigences de conformité. Pour la plupart des autres scénarios, le chiffrement stockage Azure fournit un algorithme de chiffrement suffisamment puissant et il est peu probable qu’il soit avantageux d’utiliser le chiffrement d’infrastructure.
Créer un compte avec le chiffrement d’infrastructure activé
Pour activer le chiffrement d’infrastructure pour un compte de stockage, vous devez configurer un compte de stockage pour utiliser le chiffrement d’infrastructure au moment où vous créez le compte. Le chiffrement de l’infrastructure ne peut pas être activé ou désactivé une fois le compte créé. Le compte de stockage doit être de type à usage général v2 ou blob de blocs premium.
Pour utiliser le portail Azure pour créer un compte de stockage avec chiffrement d’infrastructure activé, procédez comme suit :
Accédez à la page des comptes de stockage dans le portail Azure .
Choisissez le bouton Ajouter pour ajouter un nouveau compte de stockage d’objets blob en blocs à usage général v2 ou premium.
Sous l’onglet Chiffrement, recherchez Activer le chiffrement de l’infrastructure, puis sélectionnez Activé.
Sélectionnez Vérifier + créer pour terminer la création du compte de stockage.
Pour vérifier que le chiffrement de l’infrastructure est activé pour un compte de stockage avec le portail Azure, procédez comme suit :
Sous Paramètres, choisissez Chiffrement.
Azure Policy fournit une stratégie intégrée pour exiger que le chiffrement de l’infrastructure soit activé pour un compte de stockage.
Créer une étendue de chiffrement avec le chiffrement d’infrastructure activé
Si le chiffrement d’infrastructure est activé pour un compte, toute étendue de chiffrement créée sur ce compte utilise automatiquement le chiffrement d’infrastructure. Si le chiffrement d’infrastructure n’est pas activé au niveau du compte, vous avez la possibilité de l’activer pour une étendue de chiffrement au moment où vous créez l’étendue. Le paramètre de chiffrement d’infrastructure pour une étendue de chiffrement ne peut pas être modifié une fois l’étendue créée.