Activer le double chiffrement au niveau de l’infrastructure stockage Azure

Stockage Azure chiffre automatiquement toutes les données d’un compte de stockage au niveau du service à l’aide du chiffrement AES 256 bits, qui est l’un des chiffrements de blocs les plus forts disponibles et conforme à FIPS 140-2. Les clients qui nécessitent des niveaux plus élevés d’assurance que leurs données sont sécurisées peuvent également activer le chiffrement AES 256 bits au niveau de l’infrastructure stockage Azure pour le double chiffrement.

Le double chiffrement des données stockage Azure offre une protection approfondie contre les scénarios où l’un des algorithmes ou clés de chiffrement peut être compromis. Cette approche double couche s’aligne sur les principes de sécurité confiance zéro en supposant que toute couche unique de protection pourrait échouer. Dans de tels scénarios, la couche supplémentaire de chiffrement continue de protéger vos données.

Le chiffrement d’infrastructure peut être activé pour l’ensemble du compte de stockage ou pour une étendue de chiffrement au sein d’un compte. Lorsque le chiffrement de l’infrastructure est activé pour un compte de stockage ou une étendue de chiffrement, les données sont chiffrées deux fois ( une fois au niveau du service et une fois au niveau de l’infrastructure) avec deux algorithmes de chiffrement différents et deux clés différentes.

Le chiffrement au niveau du service prend en charge l’utilisation de clés gérées par Microsoft ou de clés gérées par le client avec Azure Key Vault ou le modèle HSM (Managed Hardware Security Model). Le chiffrement au niveau de l’infrastructure s’appuie sur des clés gérées par Microsoft et utilise toujours une clé distincte.

Pour chiffrer deux fois vos données, vous devez d’abord créer un compte de stockage ou une étendue de chiffrement configurée pour le chiffrement d’infrastructure.

Créer un compte avec le chiffrement d’infrastructure activé

Pour activer le chiffrement d’infrastructure pour un compte de stockage, vous devez le configurer au moment où vous créez le compte. Le chiffrement de l’infrastructure ne peut pas être activé ou désactivé une fois le compte créé. Par conséquent, évaluez soigneusement vos exigences de conformité avant le déploiement. Le compte de stockage doit être de type à usage général v2 ou à objet blob de blocs premium.

Pour utiliser le portail Azure pour créer un compte de stockage avec chiffrement d’infrastructure activé, procédez comme suit :

1. Accédez à la page des comptes de stockage dans le portail Azure .

2. Choisissez le bouton Ajouter pour ajouter un nouveau compte de stockage à usage général v2 ou à objet blob de blocs premium.

3. Sous l’onglet Chiffrement, recherchez Activer le chiffrement de l’infrastructure, puis sélectionnez Activé.

4. Sélectionnez Vérifier + créer pour terminer la création du compte de stockage.

   

Pour vérifier que le chiffrement de l’infrastructure est activé pour un compte de stockage avec le portail Azure, procédez comme suit :

1. Accédez à votre compte de stockage dans le Portail Azure.

2. Sous Paramètres, choisissez Chiffrement.

   

Créer une étendue de chiffrement avec le chiffrement d’infrastructure activé

Si le chiffrement d’infrastructure est activé pour un compte, toute étendue de chiffrement créée sur ce compte utilise automatiquement le chiffrement d’infrastructure. Si le chiffrement d’infrastructure n’est pas activé au niveau du compte, vous avez la possibilité de l’activer pour une étendue de chiffrement au moment où vous créez l’étendue. Le paramètre de chiffrement d’infrastructure pour une étendue de chiffrement ne peut pas être modifié une fois l’étendue créée.

Meilleures pratiques pour implémenter le chiffrement d’infrastructure

Lorsque vous décidez s’il faut implémenter le chiffrement d’infrastructure pour stockage Azure, tenez compte des recommandations suivantes :

• Évaluez d’abord les exigences de conformité : le chiffrement d’infrastructure est principalement conçu pour les organisations avec des exigences de conformité strictes qui imposent plusieurs couches de chiffrement. Passez en revue vos obligations réglementaires (telles que HIPAA, PCI-DSS, FedRAMP) avant d’activer cette fonctionnalité.

• Comprendre la permanence de la décision : le chiffrement de l’infrastructure doit être activé lors de la création du compte et ne peut pas être désactivé ultérieurement. Planifiez attentivement avant le déploiement, car vous devez créer un compte de stockage et migrer des données si vous devez modifier ce paramètre.

• Tenez compte des implications en matière de performances : bien que l’impact sur les performances soit généralement minimal, le double chiffrement ajoute une surcharge de calcul. Testez les performances de votre charge de travail avant de procéder au déploiement en production si vous avez des besoins en débit élevé.

• Utiliser avec des clés gérées par le client pour un contrôle maximal : combinez le chiffrement d’infrastructure avec des clés gérées par le client (CMK) au niveau du service pour le niveau de contrôle de chiffrement le plus élevé. Cela fournit une défense en profondeur avec des clés différentes à chaque couche.

• Implémentez Azure Policy pour la gouvernance : utilisez Azure Policy intégré pour appliquer le chiffrement de l’infrastructure sur tous les nouveaux comptes de stockage de votre organisation. Cela garantit une posture de sécurité cohérente et empêche la création accidentelle de comptes de stockage non conformes.

• Documentez votre architecture de chiffrement : conservez une documentation claire sur les comptes de stockage qui utilisent le chiffrement d’infrastructure, pourquoi il a été activé et toutes les exigences de conformité associées. Cela est essentiel pour les audits et les révisions de sécurité.

• Utilisez des étendues de chiffrement pour un contrôle granulaire : si seules certaines données nécessitent un double chiffrement, envisagez d’utiliser des étendues de chiffrement au lieu d’activer le chiffrement d’infrastructure pour l’ensemble du compte. Cela offre une flexibilité tout en répondant à des besoins de conformité spécifiques.

• Planifier la récupération d’urgence : assurez-vous que vos stratégies de récupération d’urgence et de sauvegarde comptent pour les paramètres de chiffrement de l’infrastructure. N’oubliez pas que les comptes de stockage restaurés ou répliqués doivent être configurés avec le chiffrement d’infrastructure au moment de la création.

• Surveillez l’état du chiffrement : auditez régulièrement vos comptes de stockage pour vérifier que le chiffrement de l’infrastructure est activé si nécessaire. Utilisez des rapports de conformité Azure Monitor, Azure Security Center ou Azure Policy pour la validation en cours.

• Équilibrer la sécurité et le coût : le chiffrement de l’infrastructure ajoute une petite surcharge de calcul, mais aucun coût de stockage supplémentaire. Toutefois, l’incapacité à la désactiver signifie plus tard que vous devez vous assurer que la fonctionnalité s’aligne sur votre stratégie de sécurité à long terme.

• Procédures de migration de test : étant donné que le chiffrement de l’infrastructure ne peut pas être modifié après la création, établissez et testez les procédures de migration des données entre les comptes de stockage si les exigences de chiffrement changent.

• Combiner avec d’autres fonctionnalités de sécurité : utilisez le chiffrement d’infrastructure dans le cadre d’une stratégie de sécurité complète qui inclut la sécurité réseau (points de terminaison privés, pare-feu), les contrôles d’accès (Azure RBAC, jetons SAP) et la surveillance (Azure Monitor, Microsoft Defender pour le stockage).