Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les bonnes pratiques relatives au chiffrement et à la sécurité des données.
Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure. Les opinions et technologies évoluent au fil du temps ; cet article est régulièrement mis à jour de manière à tenir compte de ces changements.
Protection des données
Pour assurer la protection des données dans le cloud, vous devez tenir compte des états que les données peuvent présenter, mais aussi des contrôles disponibles pour ces états. Les bonnes pratiques pour la sécurité et le chiffrement des données Azure s’apparentent aux états des données suivants :
- Au repos : Ceci inclut tous les objets de stockage, conteneurs et types d’informations présents de manière statique sur un support physique, qu’il s’agisse d’un disque magnétique ou d’un disque optique.
- En transit : lorsque les données sont transférées entre des composants, des emplacements ou des programmes, elles sont considérées en transit. Exemples : transfert sur le réseau, sur un bus des services (du réseau local au cloud et inversement, y compris les connexions hybrides telles que ExpressRoute), ou pendant un traitement d’entrée/sortie.
- En cours d’utilisation : lorsque les données sont traitées, les machines virtuelles de calcul confidentielles spécialisées basées sur AMD et Intel conservent les données chiffrées en mémoire en utilisant des clés gérées par le matériel.
Choisir une solution de gestion des clés
La protection de vos clés est essentielle pour protéger vos données dans le cloud.
Azure offre plusieurs services différents pour protéger vos clés de chiffrement à l’aide de modules HSM. Ces offres fournissent une scalabilité et une disponibilité cloud tout en vous donnant un contrôle total sur vos clés. Pour plus d’informations et des conseils sur le choix parmi ces offres de gestion de clés, consultez Comment choisir la solution de gestion des clés Azure appropriée. Azure Key Vault Premium ou Azure Key Vault Managed HSM sont recommandés pour gérer votre chiffrement au repos.
Gestion de stations de travail sécurisées
Notes
L’administrateur ou le propriétaire de l’abonnement doit utiliser une station de travail avec un accès sécurisé ou privilégié.
Dans la mesure où la grande majorité des atteintes ciblent l’utilisateur final, le point de terminaison devient l’un des principaux points d’attaque. Si un attaquant compromet le point de terminaison, il peut se servir des informations d’identification de l’utilisateur pour accéder aux données de l’organisation. La plupart des attaques visant le point de terminaison exploitent le fait que les utilisateurs occupent le rôle d’administrateur dans leurs stations de travail locales.
Bonne pratique : Utilisez une station de travail de gestion sécurisée pour protéger les comptes, les tâches et les données sensibles. Détail : Utilisez une station de travail avec accès privilégié pour réduire la surface d’attaque au sein des stations de travail. Ces stations de travail de gestion sécurisées peuvent vous aider à limiter certaines attaques, afin d’optimiser la sécurité de vos données.
Bonne pratique : Appliquez une protection aux points de terminaison. Détail : Appliquez des stratégies de sécurité sur l’ensemble des appareils utilisés pour consommer des données, quel que soit l’emplacement de ces dernières (dans le cloud ou en local).
Protection des données au repos
Le chiffrement des données au repos est une étape obligatoire vers la confidentialité, la conformité et la souveraineté des données.
Bonne pratique : appliquez le chiffrement sur l’hôte pour protéger vos données. Détail : Utilisez le chiffrement sur l’hôte - Chiffrement de bout en bout pour votre machine virtuelle. Le chiffrement sur hôte est une option de machine virtuelle qui améliore le chiffrement côté serveur du stockage sur disque Azure, garantissant que tous les disques temporaires et les caches de disque sont chiffrés au repos et durant leur transfert vers les clusters de stockage.
La plupart des services Azure, tels que Stockage Azure et Azure SQL Database, chiffrent les données au repos par défaut. Vous pouvez utiliser Azure Key Vault pour garder le contrôle des clés qui accèdent à vos données et les chiffrent. Consultez Prise en charge du modèle de chiffrement des fournisseurs de ressources Azure pour en savoir.
Bonnes pratiques : Utilisez le chiffrement pour réduire les risques d’accès non autorisé aux données. Détail : chiffrez vos services avant d’écrire des données sensibles.
Les organisations qui n’appliquent pas le chiffrement de données sont plus exposées aux problèmes de confidentialité des données. Les entreprises doivent prouver leur diligence et utiliser les contrôles de sécurité appropriés pour améliorer la sécurité des données afin de se conformer aux règlementations du secteur.
Protection des données en transit
La protection des données en transit doit être un aspect essentiel de votre stratégie de protection des données. Comme les données transitent entre différents emplacements, dans les deux sens, nous vous recommandons d’utiliser systématiquement les protocoles SSL/TLS pour ces déplacements de données. Dans certains cas, vous souhaiterez isoler l’intégralité du canal de communication entre vos infrastructures locales et sur le cloud, via un réseau privé virtuel (VPN).
Pour les données qui transitent entre votre infrastructure locale et Azure, vous devez envisager le recours aux dispositifs de protection appropriés, comme HTTPS ou VPN. Lors de l’envoi du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public, utilisez la passerelle VPN Azure.
Voici les bonnes pratiques relatives à la passerelle VPN Azure, et les protocoles SSL/TLS et HTTPS.
Bonne pratique : Sécurisez l’accès depuis plusieurs stations de travail locales à un réseau virtuel Azure. Détail : Utilisez un VPN de site à site.
Bonne pratique : Sécurisez l’accès depuis une station de travail locale à un réseau virtuel Azure. Détail : Utilisez un VPN de point à site.
Bonne pratique : Déplacez les jeux de données plus grands via une liaison WAN dédiée à haute vitesse. Détail : Utilisez ExpressRoute. Si vous choisissez d’utiliser ExpressRoute, vous pouvez également chiffrer les données au niveau des applications par le biais de SSL/TLS ou d’autres protocoles pour une protection renforcée.
Bonne pratique : Interagissez avec Stockage Azure via le portail Azure. Détail : Toutes les transactions se font via HTTPS. L’API de stockage REST par le biais de HTTPS peut également être utilisée pour interagir avec le stockage Azure.
Les organisations qui ne parviennent pas à protéger les données en transit sont plus sensibles aux attaques d’intercepteur, aux écoutes électroniques et au piratage de session. Ces attaques peuvent être la première étape d’un processus visant à accéder à des données confidentielles.
Protection des données en cours d’utilisation
Réduire la nécessité d’approuver les charges de travail en cours d’exécution sur le cloud nécessite une approbation. Vous donnez cette approbation à différents fournisseurs en activant différents composants de votre application.
- Fournisseurs de logiciels d’application : Approuvez un logiciel en déployant localement, en utilisant de l’open source ou en créant un logiciel d’application en interne.
- Fournisseurs de matériel : Approuvez du matériel en utilisant du matériel local ou du matériel d’origine interne.
- Fournisseurs d’infrastructure : Approuvez des fournisseurs de cloud ou gérez vos propres centres de données locaux.
Réduire la superficie exposée aux attaques : la base de calcul de confiance (TCB, Trusted Computing Base) fait référence à l’ensemble des composants matériels, des microprogrammes et des logiciels d’un système qui fournissent un environnement sécurisé. Les composants au sein du TCB sont considérés comme « critiques. » Si un composant au sein du TCB est compromis, toute la sécurité du système peut être en péril. Plus le TCB est petit, plus la sécurité est élevée. Il y a moins de risques d’exposition à différentes vulnérabilités, programmes malveillants, attaques et personnes malveillantes.
L’informatique confidentielle Azure peut vous aider à :
- Empêcher les accès non autorisés : Traitez des données sensibles dans le cloud. N’ayez aucun doute sur le fait qu’Azure fournit la meilleure protection possible des données, avec peu ou pas de modifications par rapport à ce qui se fait aujourd’hui.
- Respecter la conformité réglementaire : Migrez vers le cloud et gardez le contrôle total des données de façon à satisfaire aux réglementations légales relatives à la protection des informations personnelles et à la sécurité des adresses IP de l’organisation.
- Garantir une collaboration sécurisée et fiable : Attaquez-vous aux problèmes des travaux à l’échelle du secteur en examinant les données entre différentes organisations, même concurrentes, pour permettre des analyses des données de grande envergure et obtenir des insights plus approfondis.
- Isolez le traitement : Offrez une nouvelle vague de produits qui suppriment la responsabilité légale sur les données privées avec un traitement à l’aveugle. Les données utilisateur ne peuvent même pas être récupérées par le fournisseur de services.
En savoir plus sur l’informatique confidentielle.
Sécuriser des courriers, des documents et des données sensibles
Vous tenez à contrôler et à sécuriser les courriers, les documents et les données sensibles que vous partagez en dehors de votre entreprise. Azure Information Protection est une solution basée sur le cloud aidant une organisation à classer, étiqueter et protéger ses documents et ses courriers. Cela peut être fait automatiquement par les administrateurs qui définissent les règles et les conditions, manuellement par les utilisateurs, ou d’une manière mixte où les utilisateurs reçoivent des recommandations.
La classification est identifiable à tout moment, quel que soit l’endroit où les données sont stockées ou avec qui elles sont partagées. Les étiquettes incluent des marquages visuels tels que les en-têtes, les pieds de page et les filigranes. Les métadonnées sont ajoutées aux en-têtes des courriers et des fichiers en texte en clair. Le texte en clair s’assure que les autres services, tels que les solutions pour éviter la perte de données, puissent identifier la classification et prendre les mesures appropriées.
La technologie de protection utilise Azure Rights Management (Azure RMS). Cette technologie est intégrée à d'autres services et applications cloud de Microsoft, comme Microsoft 365 et Microsoft Entra ID. Cette technologie de protection utilise des stratégies de chiffrement, d’identité et d’autorisation. La protection appliquée à l’aide d’Azure RMS reste associée aux documents et aux courriers, indépendamment de leur emplacement, au sein ou en dehors de votre organisation, des réseaux, des serveurs de fichiers et des applications.
Cette solution de protection des informations vous permet de contrôler vos données, même lorsqu’elles sont partagées avec d’autres personnes. Vous pouvez aussi utiliser Azure RMS avec vos propres applications métier et solutions de protection des informations d’éditeurs de logiciels, qu’elles soient en local ou dans le cloud.
Nous vous recommandons :
- De déployer Azure Information Protection pour votre organisation.
- D’appliquer des étiquettes qui reflètent les besoins de votre entreprise. Par exemple : appliquer une étiquette nommée « strictement confidentiel » à tous vos documents et courriers contenant des données ultrasecrètes, afin de classifier et protéger ces données. Ensuite, seuls les utilisateurs autorisés peuvent accéder à ces données, avec les restrictions que vous spécifiez.
- Configurez la journalisation de l’utilisation d’Azure RMS afin de surveiller l’utilisation du service de protection par votre organisation.
Les organisations bénéficiant d’une classification et d’une protection insuffisantes des données sont plus vulnérables aux fuites ou aux utilisations malveillantes des données. Avec une protection de fichier adaptée, vous pouvez analyser les flux de données pour obtenir des informations sur votre entreprise, détecter des comportements à risque et prendre les mesures correctives adéquates, suivre l’accès aux documents, etc.
Étapes suivantes
Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.
Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :
- Blog de l’équipe de sécurité Azure : pour obtenir des informations à jour sur les dernières actualités sur la sécurité Azure
- Centre de réponse aux problèmes de sécurité Microsoft : emplacement où les vulnérabilités de sécurité Microsoft, dont les problèmes rencontrés avec Azure, peuvent être rapportées ou signalées par e-mail à l’adresse secure@microsoft.com