Partager via


Chiffrement et gestion des clés dans Azure

Le chiffrement est une étape vitale pour garantir la confidentialité, la conformité et la résidence des données dans Microsoft Azure. Il s’agit également de l’un des problèmes de sécurité les plus importants que rencontrent de nombreuses entreprises. Cette section présente des considérations et recommandations de conception pour le chiffrement et la gestion des clés.

Remarques relatives à la conception

  • Définissez les limites d’abonnement et d’échelle qui s’appliquent à Azure Key Vault.

    Key Vault permet de limiter les transactions pour les clés et les secrets. Pour limiter les transactions par coffre pendant une certaine période, consultez Limites Azure.

    Key Vault fait office de limite de sécurité, car les autorisations d’accès pour les clés, les secrets et les certificats sont au niveau du coffre. Les affectations de stratégie d’accès de Key Vault accordent des autorisations séparément à des clés, secrets ou certificats. Elles ne prennent pas en charge les autorisations granulaires au niveau objet, telles qu’une clé, un secret ou un certificat : gestion de clés.

  • Isolez les secrets propres à une application et propres à une charge de travail des secrets partagés pour pouvoir contrôler l’accès si nécessaire.

  • Optimisez les références SKU Premium quand des clés protégées par HSM (module de sécurité matérielle) sont nécessaires.

    Les modules HSM sous-jacents sont conformes à la norme FIPS 140-2 de niveau 2. Gérez un HSM dédié Azure pour la conformité à la norme FIPS 140-2 niveau 3, en fonction des scénarios pris en charge.

  • Gérez la permutation des clés et l’expiration des secrets.

  • Utilisez des certificats de coffre de clés pour gérer l’approvisionnement et la signature des certificats. Définissez des alertes, des notifications et le renouvellement automatique des certificats.

  • Définissez les exigences de reprise d’activité pour les clés, les certificats et les secrets.

  • Définissez les fonctionnalités de réplication et de basculement du service Key Vault. Définissez la disponibilité et la redondance.

  • Supervisez l’utilisation des clés, des certificats et des secrets.

    Détectez les accès non autorisés à l’aide d’un coffre de clés ou d’un espace de travail Log Analytics Azure Monitor. Pour plus d’informations, consultez Supervision et alertes pour Azure Key Vault.

  • Déléguez l’instanciation de Key Vault et l’accès privilégié. Pour plus d'informations, consultez Sécurité Azure Key Vault.

  • Définissez les exigences relatives à l’utilisation des clés gérées par le client pour les mécanismes de chiffrement natifs, comme le chiffrement du stockage Azure :

    • Clés gérées par le client
    • Chiffrement de disque entier pour machines virtuelles
    • Chiffrement des données en transit
    • Chiffrement des données au repos

Recommandations de conception

  • Utilisez un modèle de Azure Key Vault fédéré pour éviter les limites d’échelle des transactions.

  • Azure RBAC est le système d’autorisation recommandé pour le plan de données Azure Key Vault. Pour plus d'informations, consultez l’article Contrôle d’accès en fonction du rôle (Azure RBAC) contre stratégies d’accès (héritée).

  • Approvisionnez Azure Key Vault avec les stratégies de suppression et de vidage réversibles activées pour autoriser la protection de la rétention des objets supprimés.

  • Suivez un modèle de privilège minimum en limitant l’autorisation de supprimer définitivement des clés, secrets et certificats à des rôles Microsoft Entra personnalisés et spécialisés.

  • Automatisez le processus de gestion et de renouvellement des certificats auprès des autorités de certification publiques pour faciliter l’administration.

  • Établissez un processus automatisé pour la rotation des clés et des certificats.

  • Activez un pare-feu et des points de terminaison de service de réseau virtuel sur le coffre pour contrôler l’accès au coffre de clés.

  • Utilisez l’espace de travail Log Analytics d’Azure Monitor central de la plateforme pour auditer l’utilisation des clés, certificats et secrets à l’intérieur de chaque instance de Key Vault.

  • Déléguez l’instanciation et l’accès privilégié de Key Vault, et utilisez Azure Policy pour appliquer une configuration conforme cohérente.

  • Paramétrez l’utilisation par défaut de clés gérées par Microsoft pour la fonctionnalité de chiffrement principale, et utilisez des clés gérées par le client si nécessaire.

  • N’utilisez pas d’instances centralisées de Key Vault pour les clés ou secrets d’applications.

  • Ne partagez pas d’instances Key Vault entre les applications pour éviter le partage de secrets entre environnements.