Implémentation du chiffrement des données au repos dans Azure Storage

Implémentation du chiffrement des données au repos dans Azure Storage

03/01/2025

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre et la configuration du chiffrement des données au repos dans Azure Storage. La protection des données stockées est une mesure de sécurité fondamentale. Azure Storage offre un cryptage fort par défaut avec les clés gérées par Microsoft (MMK) et permet l'utilisation de clés gérées par le client (CMK) via Azure Key Vault pour un meilleur contrôle [1].

Présentation

Le cryptage des données au repos garantit que les données stockées sont protégées contre tout accès non autorisé. Dans Azure, toutes les données du stockage Azure sont chiffrées par défaut [2]. Pour les organisations ayant des exigences de conformité strictes, l'utilisation de CMK est essentielle car elle permet un contrôle total sur le cycle de vie des clés de chiffrement (création, rotation et révocation).

Ce guide couvrira la configuration des deux modèles de chiffrement, en mettant l'accent sur la mise en œuvre et la validation des clés gérées par le client.

Pourquoi le chiffrement des données au repos est-il crucial ?

  • Protection contre l'accès non autorisé : garantit que les données sont illisibles sans la clé de déchiffrement.
  • Conformité réglementaire : aide à respecter les réglementations telles que LGPD, GDPR, HIPAA, etc.
  • Contrôle des clés : avec CMK, les organisations conservent un contrôle total sur les clés de chiffrement.

Prérequis

  1. Abonnement Azure actif.
  2. Accès administrateur : autorisations pour gérer les comptes de stockage et les coffres de clés.
  3. Compte de stockage Azure existant (StorageV2 de préférence).
  4. Azure Key Vault pour stocker les clés CMK.

Étape par étape : configuration du cryptage

1. Chiffrement avec les clés gérées Microsoft (par défaut)

Il s’agit du paramètre par défaut et automatique. Pour vérifier :

  1. Accédez à votre Compte de stockage dans le portail Azure.
  2. Sous « Sécurité + Réseau », sélectionnez Chiffrement.
  3. Confirmez que le « Type de cryptage » par défaut est « Clés gérées par Microsoft ».

2. Implémentation de la cryptographie avec des clés gérées par le client (CMK)

2.1. Créer un coffre-fort de clés Azure et une clé

  1. Créez un nouveau Azure Key Vault. Important : activez la Protection contre la purge lors de la création.
  2. Dans Key Vault, accédez à Clés et cliquez sur Générer/Importer pour créer une nouvelle clé (ex : storage-cmk-key).

2.2. Configurer l'accès au compte de stockage

  1. Accédez à votre Compte de stockage.
  2. Accédez à Chiffrement et modifiez le « Type de chiffrement » en « Clés gérées par le client ».
  3. Sélectionnez l’option permettant d’utiliser une clé de Key Vault. Lorsque vous effectuez cette opération, Azure vous invite à créer une identité gérée pour le compte de stockage. Permettre.
  4. Maintenant, revenez à votre Key Vault et accédez aux Politiques d'accès.
  5. Créez une nouvelle stratégie d'accès. Accordez les autorisations de clé « Get », « Wrap Key » et « Unwrap Key ».
  6. À l'étape « Principal de sécurité », recherchez et sélectionnez l'identité gérée pour votre compte de stockage.
  7. Enregistrez la stratégie d'accès.

2.3. Configurer le compte de stockage pour utiliser CMK

  1. Revenez à la page Chiffrement de votre compte de stockage.
  2. Sélectionnez le Key Vault et la clé que vous avez créée.
  3. Enregistrez les modifications. Désormais, toutes les données enregistrées dans le compte seront cryptées avec votre clé.

Validation et tests

1. Test de l'accès aux données

Après avoir configuré la CMK, téléchargez et téléchargez un fichier. L'opération doit être transparente.

# Charger un fichier de test
az storage blob upload --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

# Téléchargez le fichier de test
az storage blob download --account-name <storage_account> -c <container> -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login

2. Test de la révocation de l'accès aux clés

Il s’agit du test le plus critique pour CMK.

  1. Dans votre Key Vault, accédez à la clé utilisée.
  2. Cliquez sur la version actuelle de la clé et modifiez le paramètre Enabled sur No.
  3. Attendez quelques minutes.
  4. Essayez d'accéder aux données de votre compte de stockage (par exemple, essayez de télécharger à nouveau le blob).
  5. Résultat attendu : l'opération doit échouer avec une erreur d'accès refusé (403 Forbidden), prouvant que vous avez un contrôle total sur l’accès aux données.
  6. N'oubliez pas de réactiver la clé pour restaurer l'accès.

Rotation des clés

La rotation des clés est une pratique de sécurité essentielle. Avec CMK, vous avez deux options :

  • Rotation manuelle : créez une nouvelle version de la clé dans Key Vault et mettez à jour la configuration de chiffrement dans le compte de stockage pour pointer vers la nouvelle version.
  • AutoRotation : lors de la configuration de la CMK sur le compte de stockage, ne spécifiez pas de version de clé. Le compte de stockage vérifiera périodiquement Key Vault et utilisera automatiquement la dernière version de la clé [3].

meilleures pratiques

  • Activez la protection contre l'effacement et la suppression logicielle dans votre Key Vault pour protéger vos clés contre toute suppression accidentelle ou malveillante.
  • Utilisez les identités gérées pour autoriser le compte de stockage à accéder à Key Vault. C’est plus sûr que d’utiliser d’autres méthodes.
  • Surveiller l'activité de Key Vault : utilisez les journaux de diagnostic de Key Vault pour vérifier qui accède à vos clés et quand.
  • Exiger un transfert sécurisé (HTTPS) : lors de la configuration de votre compte de stockage, exigez toujours un transfert sécurisé pour crypter les données en transit.

Conclusion

Le chiffrement des données au repos dans Azure Storage constitue une couche de défense fondamentale. Alors que les clés gérées par Microsoft assurent la sécurité par défaut sans effort, les clés gérées par le client (CMK) offrent le niveau de contrôle et d'assurance requis par de nombreuses organisations pour répondre aux exigences strictes de sécurité et de conformité. En maîtrisant la mise en œuvre et la gestion de CMK, vous vous assurez que vos données restent protégées et sous votre contrôle.

Références

[1]Microsoft. (2023). Présentation du chiffrement du stockage Azure. [2]Microsoft. (2023). Chiffrement Azure Storage Service pour les données au repos. [3]Microsoft. (2023). Clés gérées par le client pour le chiffrement Azure Storage.