Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Il existe plusieurs types de chiffrement disponibles pour vos disques managés, y compris Azure Disk Encryption (ADE), le chiffrement côté serveur (SSE) et le chiffrement sur l’hôte.
Le chiffrement côté serveur du Stockage sur disque Azure (également appelé « chiffrement au repos » ou « chiffrement du Stockage Azure ») est toujours activé et chiffre automatiquement les données stockées sur les disques managés Azure (disques de système d’exploitation et de données) et persistantes sur les clusters de stockage. Lorsqu’il est configuré avec un jeu de chiffrement de disque (DES, Disk Encryption Set), il prend également en charge les clés gérées par le client. Il ne chiffre ni les disques temporaires ni les caches de disque. Pour obtenir tous les détails, consultez Chiffrement côté serveur de stockage sur disque Azure.
Le chiffrement sur l’hôte est une option de machine virtuelle qui améliore le chiffrement côté serveur du Stockage sur disque Azure. Elle garantit que tous les disques temporaires et les caches de disque sont chiffrés au repos et que le flux à destination des clusters de stockage est chiffré. Pour des détails complets, consultez Chiffrement sur l’hôte : chiffrement de bout en bout pour vos données de machine virtuelle.
Le chiffrement de disque confidentiel lie les clés de chiffrement de disque au module de plateforme sécurisée (TPM) de la machine virtuelle et rend le contenu du disque protégé accessible uniquement à la machine virtuelle. L’état invité de machine virtuelle et du module de plateforme sécurisée (TPM) est toujours chiffré dans le code attesté à l’aide de clés publiées par un protocole sécurisé qui contourne l’hyperviseur et le système d’exploitation hôte. Actuellement uniquement disponible pour le disque de système d’exploitation, la prise en charge du disque temporaire est en préversion. Le chiffrement sur l’hôte peut être utilisé pour d’autres disques sur une machine virtuelle confidentielle en plus du chiffrement de disque confidentiel. Pour plus d’informations, consultez Machines virtuelles confidentielles des séries DCasv5 et ECasv5.
Azure Disk Encryption vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. ADE chiffre les disques de système d’exploitation et de données de machines virtuelles Azure dans vos machines virtuelles en utilisant la fonctionnalité DM-Crypt de Linux ou la fonctionnalité BitLocker de Windows. ADE est intégré à Azure Key Vault pour vous aider à contrôler et gérer les clés et secrets de chiffrement de disque, avec la possibilité de chiffrer avec une clé de chiffrement de clé (KEK). Pour obtenir tous les détails, consultez Azure Disk Encryption pour les machines virtuelles Linux ou Azure Disk Encryption pour les machines virtuelles Windows.
Important
Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.
Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrer d’Azure Disk Encryption vers le chiffrement sur l’hôte .
Le chiffrement fait partie d’une approche multicouche de la sécurité. Il doit être utilisé conjointement à d’autres recommandations afin de sécuriser les machines virtuelles et leurs disques. Pour plus d’informations, consultez Recommandations de sécurité pour les machines virtuelles dans Azure et Restreindre l’accès à l’importation/exportation de disques managés à l’aide d’Azure Private Link.
Comparaison
Voici une comparaison du chiffrement SSE du Stockage sur disque, du chiffrement ADE, du chiffrement sur l’hôte et du chiffrement de disque confidentiel.
| Chiffrement côté serveur du Stockage sur disque Azure | Chiffrement sur l’hôte | Azure Disk Encryption | Chiffrement de disque confidentiel (disque du système d’exploitation uniquement) | |
|---|---|---|---|---|
| Chiffrement au repos (disques de système d’exploitation et de données) | ✅ | ✅ | ✅ | ✅ |
| Chiffrement de disque temporaire | ❌ | ✅ Prise en charge uniquement avec la clé gérée par la plateforme | ✅ | ✅ En préversion |
| Chiffrement des caches | ❌ | ✅ | ✅ | ✅ |
| Données transmises chiffrées entre le calcul et le stockage | ❌ | ✅ | ✅ | ✅ |
| Contrôle des clés par le client | ✅ Lorsqu’il est configuré avec DES | ✅ Lorsqu’il est configuré avec DES | ✅ Lorsqu’il est configuré avec KEK | ✅ Lorsqu’il est configuré avec DES |
| Prise en charge de HSM | Azure Key Vault Premium et HSM managé | Azure Key Vault Premium et HSM managé | Azure Key Vault Premium | Azure Key Vault Premium et HSM managé |
| N’utilise pas le processeur de votre machine virtuelle | ✅ | ✅ | ❌ | ❌ |
| Fonctionne pour les images personnalisées | ✅ | ✅ | ❌ Ne fonctionne pas pour les images Linux personnalisées | ✅ |
| Protection de clé améliorée | ❌ | ❌ | ❌ | ✅ |
| État de chiffrement de disque de Microsoft Defender pour le cloud* | Malsain | Healthy | Healthy | Non applicable |
Important
Pour le chiffrement de disque confidentiel, Microsoft Defender pour le cloud n’a actuellement aucune recommandation applicable.
* Microsoft Defender pour le cloud propose les recommandations de chiffrement de disque suivantes :
- Le chiffrement doit être activé sur l’hôte pour les machines virtuelles et les groupes de machines virtuelles identiques (détecte uniquement le chiffrement sur l’hôte)
- Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage (détecte uniquement Azure Disk Encryption)
- Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost (détecte à la fois Azure Disk Encryption et EncryptionAtHost)
- Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost (détecte à la fois Azure Disk Encryption et EncryptionAtHost)
Étapes suivantes
- Azure Disk Encryption pour les machines virtuelles Linux
- Azure Disk Encryption pour les machines virtuelles Windows
- Chiffrement côté serveur du Stockage sur disque Azure
- Chiffrement sur l’hôte
- Migrer d’Azure Disk Encryption vers le chiffrement côté serveur
- Machines virtuelles confidentielles des séries DCasv5 et ECasv5
- Notions de base de la sécurité Azure – Présentation du chiffrement Azure