Dans une organisation, les données sont l’actif le plus précieux et le plus irremplaçable. Le chiffrement est une composante importante qui doit être incluse dans toute conception d’architecture. Azure fournit des fonctionnalités et des services intégrés pour chiffrer et protéger les données.
Rappelons que le chiffrement est le processus qui rend les données illisibles et inutilisables. Pour que les données chiffrées puissent être utilisées ou lues, elles doivent être déchiffrées, ce qui impose d’utiliser une clé secrète.
Il existe deux types de chiffrements de haut niveau : symétrique et asymétrique.
Le chiffrement symétrique utilise la même clé pour chiffrer et pour déchiffrer les données. Exemple, les applications de gestionnaire de mots de passe de bureau.
Le chiffrement asymétrique utilise une clé publique et une paire de clés privées. Chaque clé peut chiffrer des données, mais elle ne peut pas déchiffrer ses propres données chiffrées. Pour déchiffrer les données, vous avez besoin de la clé associée. Exemple, le protocole TLS (utilisé dans https) et la signature des données.
L’implémentation du chiffrement se fait de deux façons : chiffrement au repos et chiffrement en transit.
Storage Service Encryption (SSE) pour le chiffrement des données au repos dans tout compte de stockage Azure.
Avec cette fonctionnalité, la plateforme de stockage Azure chiffre automatiquement vos données avec un chiffrement AES (Advanced Encryption Standard) 256 bits avant de les rendre persistantes sur disque, puis déchiffre ces données pendant la récupération. La gestion du chiffrement au repos, du déchiffrement et la gestion des clés dans Storage Service Encryption sont transparentes pour les applications qui utilisent les services, vous n’avez pas besoin d’ajouter du code ou d’activer des fonctionnalités.
Les clés de chiffrement sont automatiquement gérées par Microsoft avec SSE, toutefois si les engagements de votre organisation en matière de sécurité et de conformité l’exigent vous pouvez utiliser vos propres clés de chiffrement en sélectionnant l’option type de chiffrement « clés gérées par le client » dans votre portail Azure, comme montré ci-dessous.
Par défaut, SSE (Storage Service Encryption) chiffre automatiquement les données sur le support de stockage physique dans :
- Tous les services de stockage Azure, notamment Azure Managed Disks, le stockage Blob Azure, Azure Files, le stockage File d’attente Azure et le stockage Table Azure
- Les deux niveaux de performances (Standard et Premium)
- Les deux modèles de déploiement (Resource Manager et classique)
Dans l’hypothèse très peu probable où l’accès au disque physique est obtenu par une personne non autorisée, les données sont illisibles parce qu’elles ont été chiffrées au moment de leur écriture sur le disque physique.
Azure Disk Encryption (ADE) pour le chiffrement des disques durs virtuels (VHD) de machine virtuelle.
Storage Service Encryption offre une protection de chiffrement pour les données écrites sur un disque physique, mais si un individu malveillant parvient à accéder à votre abonnement Azure et exfiltre les disques durs virtuels de vos VM, comment être sûr que l’attaquant ne pourra pas accéder aux données stockées sur le disque dur virtuel ?
Azure Disk Encryption (ADE) est une fonctionnalité qui vous permet de chiffrer les disques de vos VM IaaS Windows et Linux. ADE utilise la fonctionnalité standard BitLocker de Windows et la fonctionnalité DM-Crypt de Linux pour chiffrer les volumes des disques de système d’exploitation et de données. Comme vous pouvez le constater ci-après il est toujours possible que vous utilisiez votre propre clé de chiffrement.
Il faut noter que contrairement à Azure Storage Service Encryption (SSE) automatiquement appliqué à tout stockage brut créé dans Azure, il faut toujours avoir le réflexe d’appliquer le chiffrement au disque de votre VM seulement quand le disque n’est pas attaché ou que la machine virtuelle propriétaire est désallouée. De plus, si vous utilisez Azure Security Center, vous recevez une alerte si certaines de vos machines virtuelles ne sont pas chiffrées. Les alertes affichent un niveau de gravité élevé et la recommandation est de chiffrer ces machines virtuelles.
La solution de gestion Disk Encryption répond aux besoins métier suivants :
- Les machines virtuelles IaaS sont sécurisées au repos à l’aide d’une technologie de chiffrement standard pour répondre aux exigences en matière de conformité et de sécurité de l’organisation.
- La solution est intégrée à Azure Key Vault, ce qui vous permet de contrôler et de gérer les clés et les secrets de chiffrement de disque (et vous pouvez utiliser l’identité managée pour les services Azure pour accéder au coffre de clés). Les machines virtuelles démarrent sous des clés et des stratégies contrôlées par le client. Vous pouvez auditer leur utilisation dans votre coffre de clés.
TDE (Transparent Data Encryption) pour le chiffrement des bases de données Azure SQL Database et Azure Data Warehouse.
TDE chiffre et déchiffre en temps réel la base de données, les sauvegardes associées et les fichiers journaux de transactions au repos, sans changer l’application. Par défaut, TDE est activé pour toutes les bases de données SQL Azure récemment déployées.
TDE chiffre le stockage de l’ensemble de la base de données avec une clé symétrique, appelée « clé de chiffrement de base de données ». Par défaut, Azure fournit une clé de chiffrement unique par serveur SQL logique et gère tous les détails. Le service BYOK (Bring Your Own Key) est également pris en charge avec des clés stockées dans Azure Key Vault.
Comme TDE est activé par défaut, vous êtes assuré d’avoir les protections appropriées pour les données stockées dans vos bases de données Azure SQL Database et Azure Data Warehouse.
Il faut noter que sur Microsoft SQL Server locale, vous pouvez activé la fonctionnalité SQL Server Always Encrypted. Always Encrypted est conçu pour protéger les données sensibles, telles que les informations personnelles ou les données financières. Cette fonctionnalité protège les données de colonne au repos et en transit en faisant en sorte que l’application cliente gère le chiffrement et le déchiffrement en dehors de la base de données SQL Server via un pilote installé. Cela permet de minimiser l’exposition des données puisque la base de données ne fonctionne jamais avec des données non chiffrées. Le pilote du client Always Encrypted effectue les processus de chiffrement et de déchiffrement réels, en réécrivant les requêtes T-SQL si nécessaire pour chiffrer les données passées à la base de données et déchiffrer les résultats, tout en gardant ces opérations transparentes pour l’application.
Azure backup chiffre les données en transit et les données déjà chiffrées sont stockées sur disque au repos
Sauvegarde Azure permet de sauvegarder et récupérer les données à un niveau précis, notamment la sauvegarde des fichiers, des dossiers, de l’état du système de la machine et des données d’application.
Toutes les données sauvegardées sont stockées chiffrées au repos. La sauvegarde Azure chiffre les sauvegardes locales en utilisant AES256 et une clé créée à partir de la phrase secrète configurée lors de l’installation. Les données sont transférées de façon sécurisée vers Azure avec le protocole HTTPS et une fois arrivées, les données déjà chiffrées sont stockées sur disque. Les machines virtuelles Azure sont également chiffrées automatiquement au repos car elles utilisent Stockage Azure pour leurs disques.
Autres solutions de chiffrement par Microsoft des données en transit
Azure offre plusieurs mécanismes pour protéger la confidentialité des données lorsqu’elles transitent d’un emplacement à un autre.
Les données en transit (ou données en mouvement) sont également toujours chiffrées dans Data Lake Store. Outre le chiffrement des données avant leur stockage sur un support permanent, les données sont également toujours sécurisées en transit à l’aide du protocole HTTPS. HTTPS est le seul protocole pris en charge pour les interfaces REST Data Lake Store.
Microsoft utilise le protocole Transport Layer Security (TLS) pour protéger les données lorsqu’elles sont en déplacement entre les services cloud et les clients. Les centres de données Microsoft négocient une connexion TLS avec les systèmes clients qui se connectent aux services Azure. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.
Perfect Forward Secrecy (PFS) protège les connexions entre les systèmes clients des clients et les services cloud de Microsoft par des clés uniques. Les connexions utilisent également les longueurs de clés de chiffrement RSA de 2 048 bits. Cette combinaison rend difficile pour une personne l’interception et l’accès aux données en transit.
SMB 3.0, qui est utilisé pour accéder à Azure File Shares, prend en charge le chiffrement et est disponible dans Windows Server 2012 R2, Windows 8, Windows 8.1 et Windows 10. Cela rend possible l’accès entre les régions et même l’accès sur le bureau.
En utilisant SMB 3.0 sur des machines virtuelles qui exécutent Windows Server 2012 ou version ultérieure, vous pouvez sécuriser les transferts de données en chiffrant les données en transit sur des réseaux virtuels Azure. Le chiffrement des données offre une protection contre la falsification et les attaques d’écoute. Les administrateurs peuvent activer le chiffrement SMB pour l’ensemble du serveur ou juste des partages spécifiques.
Vous pouvez vous connecter et ouvrir une session sur une machine virtuelle à l’aide du protocole RDP (Remote Desktop Protocol) à partir d’un ordinateur client Windows ou d’un Mac avec un client RDP installé. Les données en transit sur le réseau dans les sessions RDP peuvent être protégées par le TLS.
Pour la gestion à distance, vous pouvez utiliser Secure Shell (SSH) afin de vous connecter aux machines virtuelles Linux exécutées dans Azure. SSH est un protocole de connexion chiffré qui permet d’ouvrir des sessions en toute sécurité à travers des connexions non sécurisées. Il s’agit du protocole de connexion par défaut pour les machines virtuelles Linux hébergées dans Azure.
Vous pouvez utiliser la passerelle VPN Azure pour envoyer un trafic chiffré entre votre réseau virtuel et votre emplacement local sur une connexion publique, ou pour envoyer un trafic entre des réseaux virtuels.
Les VPN de site à site utilisent IPsec pour le chiffrement du transport. Les passerelles VPN Azure utilisent un ensemble de propositions par défaut. Vous pouvez configurer des passerelles VPN Azure pour utiliser une stratégie IPsec/IKE personnalisée avec des algorithmes de chiffrement spécifiques et des avantages clés, plutôt que des ensembles de stratégies Azure par défaut.
Les VPN point à site permettent à des ordinateurs clients d’accéder à un réseau virtuel Azure. Le protocole SSTP (Secure Socket Tunneling Protocol) est utilisé pour créer le tunnel VPN. Il peut traverser des pare-feu (le tunnel apparaît en tant que connexion HTTPS). Vous pouvez utiliser votre propre autorité de certification racine interne d’infrastructure à clé publique pour la connectivité point à site.
Vous pouvez utiliser une connexion de passerelle VPN de site à site pour connecter votre réseau local à un réseau virtuel Azure par le biais d’un tunnel VPN IPsec/IKE (IKEv1 ou IKEv2). Ce type de connexion nécessite un périphérique VPN local disposant d’une adresse IP publique exposée en externe.
Chiffrement des secrets et la gestion des clés dans Key Vault
Nous avons vu que les services de chiffrement utilisent tous des clés pour chiffrer et déchiffrer les données ; par conséquent, comment être sûr que les clés elles-mêmes sont sécurisées ?
Sans protection appropriée et la gestion des clés, le chiffrement est rendu inutilisable. Key Vault est la solution recommandée de Microsoft qui permet de gérer et de contrôler l’accès aux clés de chiffrement utilisées par les services cloud. Les autorisations d’accès aux clés peuvent être attribuées aux services ou aux utilisateurs via des comptes Azure Active Directory.
Azure Key Vault est un service cloud qui fonctionne comme un magasin de secrets sécurisé. Key Vault vous permet de créer plusieurs conteneurs sécurisés, appelés coffres. Ces coffres sont secondés par des modules de sécurité matériels (HSM). Les coffres permettent de réduire les risques de perte accidentelle des informations de sécurité en centralisant le stockage des secrets d’application. Par ailleurs, les coffres de clés contrôlent et journalisent l’accès à l’ensemble de leur contenu.
Azure Key Vault peut traiter les demandes et le renouvellement des certificats TLS, et offre ainsi les fonctionnalités nécessaires à une solution robuste de gestion de cycle de vie des certificats. Key Vault est conçu pour prendre en charge tous les types de secret. Ces secrets peuvent être des mots de passe, des informations d’identification de base de données, des clés API et des certificats.
Comme les identités Azure AD peuvent être autorisées à utiliser des secrets Azure Key Vault, les applications utilisant des identités managées pour les services Azure peuvent automatiquement et sans interruption obtenir les secrets dont elles ont besoin.
A propos
Cet article vous a fournit une vue d’ensemble de l’utilisation du chiffrement dans Microsoft Azure. Il a couvert les principales zones de chiffrement, notamment le chiffrement au repos, le chiffrement en vol et la gestion des clés avec Azure Key Vault que je vous recommande.
Le petit conseil magique que je vous donnerais, c’est d’inclure automatiquement la protection des données par le chiffrement dans toute conception d’architecture.
Comments are closed.