Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le chiffrement dans Azure Data Lake Storage Gen1 vous aide à protéger vos données, à implémenter des stratégies de sécurité d’entreprise et à répondre aux exigences de conformité réglementaire. Cet article fournit une vue d’ensemble de la conception et aborde certains des aspects techniques de l’implémentation.
Data Lake Storage Gen1 prend en charge le chiffrement des données au repos et en transit. Pour les données au repos, Data Lake Storage Gen1 prend en charge le chiffrement transparent « activé par défaut ». Voici ce que signifient ces termes en un peu plus de détails :
- Activé par défaut : lorsque vous créez un compte Data Lake Storage Gen1, le paramètre par défaut active le chiffrement. Par la suite, les données stockées dans Data Lake Storage Gen1 sont toujours chiffrées avant de les stocker sur un média persistant. Il s’agit du comportement de toutes les données et ne peut pas être modifié après la création d’un compte.
- Transparent : Data Lake Storage Gen1 chiffre automatiquement les données avant la persistance et déchiffre les données avant la récupération. Le chiffrement est configuré et géré au niveau du compte Data Lake Storage Gen1 par un administrateur. Aucune modification n’est apportée aux API d’accès aux données. Par conséquent, aucune modification n’est requise dans les applications et services qui interagissent avec Data Lake Storage Gen1 en raison du chiffrement.
Les données en transit (également appelées données en mouvement) sont également toujours chiffrées dans Data Lake Storage Gen1. Outre le chiffrement des données avant le stockage sur un média persistant, les données sont également toujours sécurisées en transit à l’aide du protocole HTTPS. HTTPS est le seul protocole pris en charge pour les interfaces REST Data Lake Storage Gen1. Le diagramme suivant montre comment les données deviennent chiffrées dans Data Lake Storage Gen1 :
Configurer le chiffrement avec Data Lake Storage Gen1
Le chiffrement pour Data Lake Storage Gen1 est configuré lors de la création du compte, et il est toujours activé par défaut. Vous pouvez gérer les clés vous-même ou autoriser Data Lake Storage Gen1 à les gérer (il s’agit de la valeur par défaut).
Pour plus d’informations, consultez Bien démarrer.
Fonctionnement du chiffrement dans Data Lake Storage Gen1
Les informations suivantes expliquent comment gérer les clés de chiffrement principales, et explique les trois types de clés que vous pouvez utiliser dans le chiffrement des données pour Data Lake Storage Gen1.
Clés de chiffrement principales
Data Lake Storage Gen1 fournit deux modes de gestion des clés de chiffrement principales (MEK). Pour le moment, supposons que la clé de chiffrement principale est la clé de niveau supérieur. L’accès à la clé de chiffrement principale est nécessaire pour déchiffrer toutes les données stockées dans Data Lake Storage Gen1.
Les deux modes de gestion de la clé de chiffrement principale sont les suivants :
- Clés gérées par le service
- Clés gérées par le client
Dans les deux modes, la clé de chiffrement principale est sécurisée en la stockant dans Azure Key Vault. Key Vault est un service entièrement géré et hautement sécurisé sur Azure qui peut être utilisé pour protéger les clés de chiffrement. Pour plus d’informations, consultez Key Vault.
Voici une brève comparaison des fonctionnalités fournies par les deux modes de gestion des MEK.
| Question | Clés gérées par le service | Clés gérées par le client |
|---|---|---|
| Comment les données sont stockées ? | Toujours chiffré avant d’être stocké. | Toujours chiffré avant d’être stocké. |
| Où est stockée la clé de chiffrement principale ? | Coffre-fort de clés | Coffre-fort de clés |
| Les clés de chiffrement sont-elles stockées en dehors du coffre de clés ? | Non | Non |
| Le MEK peut-il être récupéré par Key Vault ? | Non. Une fois que le MEK est stocké dans Key Vault, il peut uniquement être utilisé pour le chiffrement et le déchiffrement. | Non. Une fois que le MEK est stocké dans Key Vault, il peut uniquement être utilisé pour le chiffrement et le déchiffrement. |
| Qui possède l’instance Key Vault et le MEK ? | Le service Data Lake Storage Gen1 | Vous êtes propriétaire de l’instance Key Vault, qui appartient à votre propre abonnement Azure. Le MEK dans Key Vault peut être géré par logiciel ou matériel. |
| Pouvez-vous révoquer l’accès au MEK pour le service Data Lake Storage Gen1 ? | Non | Oui. Vous pouvez gérer les listes de contrôle d’accès dans Key Vault et supprimer les entrées de contrôle d’accès à l’identité de service pour le service Data Lake Storage Gen1. |
| Pouvez-vous supprimer définitivement le MEK ? | Non | Oui. Si vous supprimez le MEK de Key Vault, les données du compte Data Lake Storage Gen1 ne peuvent pas être déchiffrées par n’importe qui, y compris le service Data Lake Storage Gen1. Si vous avez sauvegardé explicitement le MEK avant de le supprimer de Key Vault, le MEK peut être restauré et les données peuvent ensuite être récupérées. Toutefois, si vous n’avez pas sauvegardé le MEK avant de le supprimer de Key Vault, les données du compte Data Lake Storage Gen1 ne peuvent jamais être déchiffrées par la suite. |
En dehors de cette différence de qui gère le MEK et l’instance Key Vault dans laquelle elle réside, le reste de la conception est identique pour les deux modes.
Il est important de mémoriser ce qui suit lorsque vous choisissez le mode pour les clés de chiffrement principales :
- Vous pouvez choisir d’utiliser des clés gérées par le client ou des clés gérées par le service lorsque vous approvisionnez un compte Data Lake Storage Gen1.
- Une fois qu’un compte Data Lake Storage Gen1 est configuré, le mode ne peut pas être modifié.
Chiffrement et déchiffrement des données
Il existe trois types de clés utilisés dans la conception du chiffrement des données. Le tableau suivant fournit un résumé :
| Clé | Abréviation | Associé avec | Emplacement de stockage | Catégorie | Remarques |
|---|---|---|---|---|---|
| Clé de chiffrement principale | MEK | Un compte Data Lake Storage Gen1 | Coffre-fort de clés | Asymétrique | Il peut être géré par Data Lake Storage Gen1 ou vous. |
| Clé de chiffrement des données | DEK | Un compte Data Lake Storage Gen1 | Stockage persistant géré par le service Data Lake Storage Gen1 | Symétrique | La clé DEK est chiffrée par le MEK. La clé DEK chiffrée est ce qui est stocké sur un support persistant. |
| Bloquer la clé de chiffrement | BEK | Bloc de données | Aucun | Symétrique | La clé BEK est dérivée de la clé DEK et du bloc de données. |
Le diagramme suivant illustre ces concepts :
Pseudo-algorithme lorsqu’un fichier doit être déchiffré :
- Vérifiez si la clé DEK du compte Data Lake Storage Gen1 est mise en cache et prête à être utilisée.
- Si ce n’est pas le cas, lisez la clé DEK chiffrée à partir du stockage persistant et envoyez-la à Key Vault pour être déchiffrée. Mettre en cache la clé DEK déchiffrée en mémoire. Il est maintenant prêt à être utilisé.
- Pour chaque bloc de données dans le fichier :
- Lisez le bloc chiffré de données à partir du stockage persistant.
- Générez la clé BEK à partir de la clé DEK et du bloc chiffré de données.
- Utilisez la clé BEK pour déchiffrer les données.
Pseudo-algorithme lorsqu’un bloc de données doit être chiffré :
- Vérifiez si la clé DEK du compte Data Lake Storage Gen1 est mise en cache et prête à être utilisée.
- Si ce n’est pas le cas, lisez la clé DEK chiffrée à partir du stockage persistant et envoyez-la à Key Vault pour être déchiffrée. Mettre en cache la clé DEK déchiffrée en mémoire. Il est maintenant prêt à être utilisé.
- Générez un BEK unique pour le bloc de données à partir de la DEK.
- Chiffrez le bloc de données avec la clé BEK à l’aide du chiffrement AES-256.
- Stockez le bloc de données chiffré des données sur le stockage persistant.
Remarque
La clé DEK est toujours stockée chiffrée par le MEK, que ce soit sur un support persistant ou mis en cache en mémoire.
Rotation des clés
Lorsque vous utilisez des clés gérées par le client, vous pouvez faire pivoter le MEK. Pour savoir comment configurer un compte Data Lake Storage Gen1 avec des clés gérées par le client, consultez Prise en main.
Conditions préalables
Lorsque vous configurez le compte Data Lake Storage Gen1, vous avez choisi d’utiliser vos propres clés. Cette option ne peut pas être modifiée une fois le compte créé. Les étapes suivantes supposent que vous utilisez des clés gérées par le client (autrement dit, vous avez choisi vos propres clés à partir de Key Vault).
Notez que si vous utilisez les options par défaut pour le chiffrement, vos données sont toujours chiffrées à l’aide de clés gérées par Data Lake Storage Gen1. Dans cette option, vous n’avez pas la possibilité de faire pivoter des clés, car elles sont gérées par Data Lake Storage Gen1.
Comment faire pivoter le MEK dans Data Lake Storage Gen1
Connectez-vous au portail Azure.
Accédez à l’instance Key Vault qui stocke vos clés associées à votre compte Data Lake Storage Gen1. Cliquez sur Clés.
Sélectionnez la clé associée à votre compte Data Lake Storage Gen1 et créez une nouvelle version de cette clé. Notez que Data Lake Storage Gen1 prend actuellement uniquement en charge la rotation des clés vers une nouvelle version d’une clé. Elle ne prend pas en charge la rotation vers une autre clé.
Accédez au compte Data Lake Storage Gen1, puis sélectionnez Chiffrement.
Un message vous informe qu’une nouvelle version de la clé est disponible. Cliquez sur Faire pivoter la clé pour mettre à jour la clé vers la nouvelle version.
Cette opération doit prendre moins de deux minutes et il n’y a pas de temps d’arrêt attendu en raison de la rotation des clés. Une fois l’opération terminée, la nouvelle version de la clé est en cours d’utilisation.
Important
Une fois l’opération de rotation de clé terminée, l’ancienne version de la clé n’est plus utilisée activement pour chiffrer de nouvelles données. Toutefois, il peut arriver que l’accès aux données plus anciennes ait besoin de l’ancienne clé. Pour autoriser la lecture de ces données plus anciennes, ne supprimez pas l’ancienne clé