Activer le chiffrement double au niveau de l’infrastructure de stockage Azure
Stockage Azure chiffre automatiquement toutes les données d’un compte de stockage au niveau du service en utilisant le chiffrement AES 256 bits, l’un des chiffrements par blocs les plus puissants actuellement disponibles, conforme à la norme FIPS 140-2. Les clients qui doivent s’assurer que leurs données sont sécurisées peuvent également activer le chiffrement AES 256 bits au niveau de l’infrastructure de Stockage Azure pour le chiffrement double. Le double chiffrement des données Stockage Azure permet d’éviter un scénario impliquant une possible compromission d’un algorithme ou d’une clé de chiffrement. Dans un tel scénario, la couche de chiffrement supplémentaire continue de protéger vos données.
Le chiffrement d’infrastructure peut être activé pour l’ensemble du compte de stockage ou pour une étendue de chiffrement au sein d’un compte. Lorsque le chiffrement d’infrastructure est activé pour un compte de stockage ou une étendue de chiffrement, les données sont chiffrées deux fois, une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement et deux clés différents.
Le chiffrement au niveau du service prend en charge l’utilisation de clés gérées par Microsoft ou de clés gérées par le client avec Azure Key Vault ou un module de sécurité matériel (HSM) géré par Azure Key Vault. Le chiffrement au niveau de l’infrastructure s’appuie sur des clés gérées par Microsoft et utilise systématiquement une clé distincte.
Pour chiffrer doublement vos données, vous devez d’abord créer un compte de stockage ou une étendue de chiffrement qui sont configurés pour le chiffrement d’infrastructure.
Le chiffrement de l’infrastructure est recommandé pour les scénarios où le chiffrement double des données est nécessaire pour les exigences de conformité. Dans la plupart des autres scénarios, le chiffrement Stockage Azure fournit un algorithme de chiffrement suffisamment puissant. Il est peu probable que l’utilisation du chiffrement d’infrastructure soit avantageuse.
Créer un compte avec le chiffrement d’infrastructure activé
Pour activer le chiffrement d’infrastructure pour un compte de stockage, vous devez configurer l’utilisation du chiffrement d’infrastructure au moment où vous créez le compte. Le chiffrement d’infrastructure ne peut pas être activé ou désactivé une fois le compte créé. Le compte de stockage doit être de type v2 universel ou objet blob de blocs Premium.
Pour utiliser le portail Azure afin de créer un compte de stockage avec le chiffrement d’infrastructure activé, procédez comme suit :
Dans le Portail Azure, accédez à la page Comptes de stockage.
Choisissez le bouton Ajouter pour ajouter un compte de stockage v2 universel ou objet blob de blocs Premium.
Sous l’onglet Chiffrement, localisez Activer le chiffrement d’infrastructure, puis sélectionnez Activé.
Sélectionnez Vérifier + créer pour achever la création du compte de stockage.
Pour vérifier que le chiffrement d’infrastructure est activé pour un compte de stockage avec le portail Azure, procédez comme suit :
Accédez à votre compte de stockage dans le Portail Azure,
Sous Paramètres, choisissez Chiffrement.
Azure Policy fournit une stratégie intégrée pour exiger que le chiffrement de l’infrastructure soit activé pour un compte de stockage.
Créer une étendue de chiffrement avec le chiffrement d’infrastructure activé
Si le chiffrement d’infrastructure est activé pour un compte, toute étendue de chiffrement créée sur ce compte utilise automatiquement le chiffrement d’infrastructure. Si le chiffrement d’infrastructure n’est pas activé au niveau du compte, vous avez la possibilité de l’activer pour une étendue de chiffrement au moment où vous créez l’étendue. Le paramètre de chiffrement d’infrastructure d’une étendue de chiffrement ne peut pas être modifié une fois l’étendue créée.