Aujourd’hui, nous annonçons la disponibilité générale du chiffrement côté serveur avec clés gérées par le client pour les disques managés Azure. Les clients Azure bénéficient déjà par défaut du chiffrement côté serveur avec clés gérées par la plateforme pour les disques managés. Le chiffrement côté serveur avec clés gérées par le client améliore les clés gérées par la plateforme en vous donnant le contrôle des clés de chiffrement pour répondre à vos besoins de conformité.

Aujourd’hui, les clients peuvent également utiliser Azure Disk Encryption, qui tire parti de la fonctionnalité Windows BitLocker et de la fonctionnalité dm-crypt de Linux pour chiffrer les disques managés avec clés gérées par le client au sein de la machine virtuelle invitée. Le chiffrement côté serveur avec clés gérées par le client améliore le chiffrement de disque Azure parce qu’il vous permet d’utiliser toutes sortes de types de système d’exploitation et d’images, notamment des images personnalisées, pour vos machines virtuelles en chiffrant les données dans le service Stockage Azure.

Le chiffrement côté serveur avec clés gérées par le client est intégré à Azure Key Vault, qui fournit un stockage sécurisé hautement disponible et scalable pour vos clés soutenues par des modules de sécurité matériels. Vous pouvez apporter vos propres clés (BYOK) dans votre coffre de clés Key Vault ou générer de nouvelles clés dans Key Vault.

À propos de la gestion des clés

Les disques managés sont chiffrés et déchiffrés en toute transparence à l’aide du chiffrement AES 256 bits, un des chiffrements par blocs les plus puissants actuellement disponibles. Le service Stockage gère le chiffrement et le déchiffrement de manière entièrement transparente à l’aide du chiffrement d’enveloppe. Il chiffre les données à l’aide de clés de chiffrement de données AES 256, qui sont à leur tour protégées à l’aide de vos clés stockées dans un coffre de clés Key Vault.

Le service Stockage génère des clés de chiffrement de données et les chiffre avec des clés gérées par le client à l’aide du chiffrement RSA. Le chiffrement d’enveloppe vous permet d’assurer régulièrement la rotation (modification) de vos clés en fonction de vos stratégies de conformité, sans impact sur vos machines virtuelles. Lorsque vous effectuez la rotation de vos clés, le service Stockage rechiffre les clés de chiffrement de données avec la nouvelle clé gérée par le client.

Contrôle intégral de vos clés

Vous disposez d’un contrôle total de vos clés dans votre coffre de clés Key Vault. Les disques managés utilisent l’identité managée affectée par le système dans votre instance Azure Active Directory (Azure AD) pour accéder aux clés dans Key Vault. Un administrateur disposant des autorisations requises dans Key Vault doit d’abord accorder l’accès aux disques managés dans Key Vault pour utiliser les clés à des fins de chiffrement et de déchiffrement de la clé de chiffrement de données. Vous pouvez empêcher les disques managés d’accéder à vos clés en désactivant vos clés ou en révoquant les contrôles d’accès de vos clés. Ainsi, les machines virtuelles en cours d’exécution qui ont des disques attachés échouent. En outre, vous pouvez suivre l’utilisation des clés via la supervision Key Vault pour vous assurer que seuls les disques managés ou d’autres services Azure approuvés accèdent à vos clés.

Disponibilité du chiffrement côté serveur avec clés gérées par le client

Le chiffrement côté serveur avec clés gérées par le client est disponible pour les disques managés HDD Standard, SSD Standard et SSD Premium qui peuvent être attachés à des machines virtuelles Azure et à des groupes de machines virtuelles identiques. La prise en charge des disques de stockage Ultra sera annoncée séparément. Le chiffrement côté serveur avec clés gérées par le client est à présent activé dans toutes les régions publiques et Azure Government. Il sera disponible dans les régions allemandes (souveraines) et en Chine dans quelques semaines.

Vous pouvez utiliser Sauvegarde Azure pour sauvegarder vos machines virtuelles à l’aide de disques managés chiffrés à l’aide du chiffrement côté serveur avec clés gérées par le client. En outre, vous pouvez choisir de chiffrer les données de sauvegarde dans vos coffres Recovery Services à l’aide de vos clés stockées dans votre coffre de clés Key Vault au lieu des clés gérées par la plateforme disponibles par défaut. Reportez-vous à la documentation pour plus d’informations sur le chiffrement des sauvegardes à l’aide de clés gérées par le client.

Vous pouvez utiliser Azure Site Recovery pour répliquer vos machines virtuelles Azure qui ont des disques managés chiffrés avec le chiffrement côté serveur avec clés gérées par le client dans d’autres régions Azure pour la reprise d’activité après sinistre. Vous pouvez également répliquer vos machines virtuelles locales vers des disques managés chiffrés avec le chiffrement côté serveur avec clés gérées par le client dans Azure. En savoir plus sur la réplication de vos machines virtuelles à l’aide de disques managés chiffrés à l’aide du chiffrement côté serveur avec clés gérées par le client.

Prise en main

Pour activer le chiffrement avec clés gérées par le client pour les disques managés, vous devez d’abord créer une instance d’un nouveau type de ressource appelé DiskEncryptionSet, puis accorder à l’instance l’accès au coffre de clés. DiskEncryptionSet représente une clé dans votre coffre de clés Key Vault et vous permet de réutiliser la même clé pour chiffrer de nombreux disques, instantanés et images avec la même clé.

Examinons un exemple de création d’une instance de DiskEncryptionSet :

1. Créez une instance de DiskEncryptionSet en spécifiant une clé dans votre coffre de clés Key Vault.

keyVaultId=$(az keyvault show --name yourKeyVaultName --query [id] -o tsv)

keyVaultKeyUrl=$(az keyvault key show --vault-name yourKeyVaultName --name yourKeyName --query [key.kid] -o tsv)

az disk-encryption-set create -n yourDiskEncryptionSetName -l WestCentralUS -g yourResourceGroupName --source-vault $keyVaultId --key-url $keyVaultKeyUrl

2. Accordez l’accès à l’instance au coffre de clés Key Vault. Lorsque vous avez créé l’instance, le système a automatiquement créé une identité managée affectée par le système dans votre instance Azure AD et associé l’identité à l’instance. L’identité doit avoir accès au coffre de clés Key Vault pour effectuer les opérations requises, telles que wrapkey, unwrapkey et get.

desIdentity=$(az disk-encryption-set show -n yourDiskEncryptionSetName -g yourResourceGroupName --query [identity.principalId] -o tsv)

az keyvault set-policy -n yourKeyVaultName -g yourResourceGroupName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

az role assignment create --assignee $desIdentity --role Reader --scope $keyVaultId

Vous êtes prêt à activer le chiffrement pour les disques, les instantanés et les images en les associant à l’instance de DiskEncryptionSet. Il n’existe aucune restriction sur le nombre de ressources qui peuvent être associées au même DiskEncryptionSet.

Examinons un exemple d’activation d’un disque existant :

1. Pour activer le chiffrement des disques attachés à une machine virtuelle, vous devez arrêter (désallouer) une machine virtuelle.

az vm stop --resource-group MyResourceGroup --name MyVm

2. Activez le chiffrement d’un disque attaché en l’associant à l’instance de DiskEncryptionSet.

diskEncryptionSetId=$(az disk-encryption-set show -n yourDiskEncryptionSetName -g yourResourceGroupName --query [id] -o tsv)

az disk update -n yourDiskEncryptionSetName -g yourResourceGroupName --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId

3. Démarrez la machine virtuelle.

az vm start -g MyResourceGroup -n MyVm

Reportez-vous à la documentation sur les disques managés pour obtenir des instructions détaillées sur l’activation du chiffrement côté serveur avec clés gérées par le système pour les disques managés.

Envoyez-nous vos commentaires

Nous attendons avec impatience vos commentaires sur le chiffrement côté serveur avec clés gérées par le client. Veuillez nous envoyer un e-mail à cette adresse.