Aujourd’hui, nous sommes ravis d’annoncer la disponibilité générale d’Azure Storage Service Encryption avec des clés gérées par le client et intégrées à Azure Key Vault pour Stockage Blob et Stockage Fichier Azure. Les clients Azure bénéficient déjà des fonctionnalités Storage Service Encryption pour Stockage Blob et Stockage Fichier Azure à l’aide de clés gérées par Microsoft.

Storage Service Encryption avec des clés gérées par le client utilise Azure Key Vault qui fournit un stockage sécurisé hautement disponible et scalable pour les clés de chiffrement RSA supportées par les modules de sécurité matériels validés FIPS 140-2 niveau 2. Key Vault rationalise le processus de gestion de clés et permet aux clients de garder le contrôle complet des clés servant à chiffrer les données, gérer et modifier leur utilisation des clés.

Il s’agit de l’une des fonctionnalités les plus demandées par les entreprises qui cherchent à protéger les données sensibles dans le cadre de leurs besoins réglementaires ou de conformité, conformément aux normes HIPAA et BAA.

Les clients peuvent générer/importer leur clé RSA dans Azure Key Vault et l’utiliser avec Storage Service Encryption. Stockage Azure gère le chiffrement et le déchiffrement de manière totalement transparente à l’aide du chiffrement d’enveloppe dans lequel les données sont chiffrées à l’aide d’une clé AES 256, elle-même protégée à l’aide de la clé gérée par le client dans Azure Key Vault.

Les clients peuvent faire alterner leur clé dans Azure Key Vault conformément à leurs stratégies de conformité. Lorsqu’ils font alterner leur clé, Stockage Azure rechiffre la clé de chiffrement du compte pour le compte de stockage en question. Cela n’entraîne pas le rechiffrement de toutes les données et aucune autre action n’est requise de la part de l’utilisateur.

Les clients peuvent également révoquer l’accès au compte de stockage en révoquant l’accès sur leur clé dans Azure Key Vault. Il existe plusieurs façons de révoquer l’accès à vos clés. Reportez-vous aux pages Azure Key Vault PowerShell et Azure Key Vault CLI pour plus d’informations. La révocation de l’accès bloque efficacement l’accès à tous les objets blob dans le compte de stockage, car la clé de chiffrement du compte n’est pas accessible au Stockage Azure.

Les clients doivent activer les options Do Not Purge (Ne pas purger) et Soft Delete (Suppression réversible) pour les clés gérées par le client qui les protègent contre les ransomware.

Les clients peuvent activer cette fonctionnalité sur tous les types de redondance de Stockage Blob et Stockage Fichier Azure disponibles, notamment le stockage Premium, et passer de clés gérées par Microsoft à des clés gérées par le client. L’activation de cette fonctionnalité s’effectue sans frais supplémentaires.

Vous pouvez activer Storage Service Encryption à l’aide de clés gérées par le client sur un compte de stockage Azure Resource Manager à l’aide du portail Azure, d’Azure PowerShell, d’Azure CLI ou de l’API Microsoft Azure Storage Resource Provider.

Apprenez-en davantage sur Storage Service Encryption avec des clés gérées par le client.