Protéger vos données avec le chiffrement dans Azure et Office 365
•Descargar como PPTX, PDF•
0 recomendaciones•2,652 vistas
"Les organisations de toute taille s’appuient sur un nombre croissant de services dans le Cloud pour assoir les nouveaux usages et modèles d’affaire dans le cadre de leur transformation numérique. Au-delà des contrôles en place et autres dispositions prises par défaut en matière de sécurité par ces services, d’aucun voit dans le chiffrement de leurs données et l’utilisation de leurs propres clés de chiffrement les clés de la confiance. Dans ce contexte, cette session vous propose une vue d'ensemble illustrée des différentes solutions de chiffrement proposées dans Azure et Office 365. Elle vise à présenter ces solutions et à donner des indications claires sur la façon de choisir la ou les solutions appropriées en fonction de cas d’usage donnés ou/et d’exigences particulières. Les risques ainsi couverts seront explicités au cas par cas."
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (10)
Similar a Protéger vos données avec le chiffrement dans Azure et Office 365
Similar a Protéger vos données avec le chiffrement dans Azure et Office 365 (20)
Más de Microsoft Technet France
Más de Microsoft Technet France (20)
Protéger vos données avec le chiffrement dans Azure et Office 365
- 1. N° 1
- 2. N° 2 Philippe Beraud @philberd Jean-Yves Grasset @jyvesgrasset
- 3. N° 3 Protéger vos données avec le chiffrement dans Office 365 et Azure
- 4. N° 4 Question Réponse Où sont les données à protéger ? En interne, sur l’appareil, dans le Cloud ? Où sont stockées les clés ? En interne, dans le Cloud, dans un HSM, etc. ? Qui a accès aux clés et comment s’en assurer ? Le service Cloud, les administrateurs client, les développeurs, etc. Qui peut accéder aux données en clair ? Le service Cloud, le client, les administrateurs Où s'effectuent les opérations de chiffrement/déchiffrement ? Le service Cloud, le client, une passerelle Y-a-t-il un impact fonctionnel sur le services ? Indexation, audit, etc. De quels risques se protège-t-on ? Ecoute, interception des communications, vol de disque, administrateur/opérateurs interne malveillants, etc. Quels sont les risques résiduels ? Usurpation d’identité, dénis de service, intégrité des données, sécurité de l’appareil pour l’administration du locataire, etc.
- 5. N° 5 Un rapide préambule sur Azure Key Vault/Key Vault Certificates …
- 6. N° 6
- 7. N° 7 Modèles de chiffrement Chiffrement CLOUD Chiffrement CLIENT Chiffrement côté service Cloud avec les clés gérées par le service Chiffrement côté service Cloud utilisant les clés du client dans Azure Key Vault Chiffrement côté service Cloud utilisant les clés du client gérées en interne Chiffrement des données effectué au niveau du client avant stockage dans le cloud • Les services Cloud peuvent voir les données en clair • Microsoft gère les clés • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud peuvent voir les données en clair • Le client contrôle les clés à travers Azure Key Vault • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud peuvent voir les données en clair • Le client contrôle les clés en interne • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud ne peuvent PAS voir les données en clair • Les clés du client restent en interne • Fonctionnalités Cloud REDUITES
- 8. N° 8
- 9. N° 9 Données en transit – (Options de) chiffrement * Optionnel, choix d’implémentation du client Données en transit entre un utilisateur et le service Données en transit entre les centres de données Communications de bout en bout entre les utilisateurs Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations Protéger contre l’interception en masse des données Protéger contre l’interception ou la perte des données en transit entre utilisateurs Portail Office 365 (et autres points de terminaisons) : • Chiffrement des transactions à l’aide de TLS avec HTTP, POP3, etc. • Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2 Les données répliquées/transférées entre les centres de données Office 365 sont chiffrées avec TLS ou IPsec, p.ex. TLS avec SMTP RMS pour Office 365/Azure RMS/Azure Information Protection* O365 Message Encryption* S/MIME*
- 10. N° 10 Données au repos – Options de chiffrement
- 11. N° 11 Azure RMS/Azure Information Protection Authentification et Collaboration • Cf. session précédente Protéger votre patrimoine informationnel dans un monde hybride avec Azure Information Protection
- 12. N° 12 Microsoft Cloud App Security(pour Office 365* et au-delà) “VOS" APPLICATIONS ET APIS+ “VOS" APPAREILS *Office 365 Advanced Security Management
- 13. N° 13 En guise de « synthèse » sur les risques couverts Risques Risques Fonctionnalités Accès aux données client par un administrateur interne malveillant Vol d’information Fuite d’information Protection des communications à l’aide de TLS avec HTTP, POP3, SMTP, etc. Chiffrement des données aux repos (Chiffrement avancé) Chiffrement des disques (BitLocker) S/MIME / Office 365 message encryption (OME) Azure RMS/ Azure Information Protection Solution tierce de type Cloud Encryption Gateway Office 365 Advanced Security Management/Cloud App Security Authentification multifacteur pour Office 365 MAM / Windows Information Protection Accès serveur audité, contrôlé et limité dans le temps (LockBox/Customer Lockbox) DLP intégré à Office 365 Risques CHIFFREMENTAUTRES
- 14. N° 14
- 15. N° 15 Données en transit – Options de chiffrement * Choix de configuration (additionnelle) du client Données en transit entre un utilisateur et le service Données en transit entre les centres de données Communications de bout en bout entre les utilisateurs Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations Protéger contre l’interception en masse des données Protéger contre l’interception ou la perte des données en transit entre utilisateurs Portail Azure : • Chiffrement des transactions à l’aide de TLS avec HTTP • Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2 Acceptation UNIQUEMENT de disques de données chiffrés pour l’importation/exportation TLS (avec HTTP) pour l’API REST pour le stockage* Chiffrement du trafic entre le client Web et le serveur à l’aide de TLS avec HTTP sur IIS* Chiffrement du trafic entre le client et Azure SQL Database à l’aide de TLS avec HTTP Les données répliquées/transférées entre les centres de données Azure sont chiffrées avec TLS ou IPsec Fonction de la mise en œuvre faite des services Azure*
- 16. N° 16 Données au repos – Options de chiffrement INTERFACESDEGESTIONDECLÉS TDE (TRANSPARENT DATA ENCRYPTION) - <SQL Server ou Azure SQL Database> CLE (CELL LEVEL ENCRYPTION) - <SQL Server ou Azure SQL Database> SAUVEGARDES CHIFFRÉES SQL SERVER SQL SERVER (VM) ET AZURE SQL DATABASE AZURE DISK ENCRYPTION - <BitLocker [Windows], DM-Crypt [Linux]> CHIFFREMENT DE VOLUME PARTENAIRE - <CloudLink SecureVM, SafeNet ProtectV, etc.> MACHINES VIRTUELLES – WINDOWS ET LINUX AZURE STORAGE SERVICE ENCRYPTION (VERSION PRÉLIMINAIRE) STOCKAGE AZURE – BLOBS, TABLES ET QUEUES AZURE HDINSIGHT AZURE BACKUP SERVICE - <Tire parti du chiffrement d’Azure Disk Encryption> AZURE BACKUP SERVICE AZURE DATA LAKE – Toujours actif (choix du schéma de gestion de clé) AZURE DATA LAKE
- 17. N° 17 Azure Disk Encryption Azure Disk Encryption for Windows and Linux Azure Virtual Machines GitHub
- 18. N° 18
- 20. N° 20 Chiffrement SQL Server (VM) ou Azure SQL Database
- 21. N° 21 Chiffrement SQL Server (VM) ou Azure SQL Database(suite)
- 22. N° 22 Chiffrement du stockage Azure
- 23. N° 23 En guise de « synthèse » sur les risques couverts RisquesFonctionnalités Accès aux données client par un administrateur/ opérateur malveillant (fournisseur Cloud) Vol d’information Fuite d’information Protection des communications à l’aide de TLS avec HTTP Azure Disk Encryption (IaaS) Chiffrement côté client du stockage Azure Chiffrement du stockage Azure (Service) SQL Server/Azure SQL Database (TDE, CLE, sauvegardes) SQL Server/Azure SQL Database (chiffrement intégral) Risques
- 24. N° 24 En guise de synthèse sur les diverses options de chiffrement abordées ChiffrementCLOUD ChiffrementCLIENT Azure
- 25. N° 25 Et si l’on parlait des risques résiduels pour conclure ce (rapide) tour d’horizon ?
- 26. N° 26 Les autres domaines à couvrir La protection des données nécessite une approche complète de bout-en-bout 100101100101 011010 011010 100101100101 011010 011010 100101100101 011010 011010 100101100101 011010 011010 CONTRÔLER L’ACCÈS PROTÉGER LE POSTE D’ADMINISTRATION CHIFFRER LES DONNÉES Protéger les clés de chiffrement, sauvegarder les données Revue des permissions, protection des identités et gestion des identités privilégiées, authentification forte, contrôle d’accès conditionnel, etc. Renforcement de la sécurité de l’appareil, protection anti-malware, contrôle de l’état de santé de l’appareil, etc.
- 27. N° 27 En guise de conclusion
- 28. N° 28 Pour aller plus loin avec le Centre de confiance Microsoft trustverbe |ˈtrəst www.microsoft.com/fr-fr/trustcenter
- 29. N° 29 Pour aller au-delà Data Encryption Technologies in Office 365 Office 365 Security and compliance Protecting Data and Privacy in the Cloud Azure Disk Encryption for Windows and Linux Azure Virtual Machines Security, Privacy, and Compliance in Microsoft Azure Le chiffrement dans Office 365 DLP avec Office 365 Thalès et Microsoft France présentent Cyris for Office 365 Outlook Azure Security Center Azure Disk Encryption Introduction à Azure Key Vault Azure Key Vault en pratique
- 30. N° 30 Pour aller au-delà dans un monde en évolution constante… https://blogs.office.com/ https://blogs.microsoft.fr/office/ https://azure.microsoft.com/en-us/blog/ http://blogs.microsoft.fr/azure/ https://blogs.technet.microsoft.com/enterprisemobility/ https://blogs.technet.microsoft.com/kv
- 31. N° 31N° 31
- 32. N° 32 @microsoftfrance @Technet_France @msdev_fr @philberd | @jyvesgrasset N° 32
- 33. N° 33N° 33
Notas del editor
- Titre : les questions à se poser Objectifs : Récapituler la liste des questions à se poser avant de choisir une solution de chiffrement Description : Cette liste correspond aux questions que peuvent légitimement se poser les clients avant de mettre en œuvre une solution de chiffrement. Tout client aura la démarche classique de chiffrer l’ensemble de ses données avec ses propres clés sans se poser les 2 dernières questions qui sont pourtant cruciales Y-a-t ’il des pertes fonctionnelles par le fait de rendre inaccessibles en clair les données que l’on met à disposition du service De quels risques souhaite-t-on se protéger ? En effet, par le chiffrement la plupart des clients pensent pouvoir utiliser un service et se protéger d’actions malveillantes ou d’écoute de la part même du fournisseur de Cloud (Microsoft)- en relation avec le Patriot Act, l’affaire Snowden, etc. On verra que les réponses sont plus complexes que « je chiffre tout et je suis protégé » et que l’approche par les risques est la bonne !
- Objectifs : Donner une vue d’ensemble de la solution Azure Key Vault. Description : Azure Key Vault offre un moyen facile et rentable pour sauvegarder les clés et les autres secrets utilisés par les applications et services cloud à l'aide de modules HSM. Avec Azure Key Vault, les clients peuvent simplifier la gestion des clés et garder le contrôle des clés servant à accéder et à chiffrer leurs données.
- Objectifs: Détailler les 2 grands modèles de chiffrement avec leurs avantages et inconvénients respectifs Expliquer que le chiffrement Cloud n’a pas d’impact fonctionnel et préserve des fonctionnalités mise en œuvre par les services concernés, p. ex. avec Office 365 comme la recherche, l’indexation, le DLP, l’antimalware, etc. Expliquer qu’à l’inverse le chiffrement côté client donne plus de contrôle sur l’endroit où s’opère le chiffrement mais avec potentiellement un impact fort sur les fonctionnalités. Chiffrement côté cloud/serveur/service Lorsque le chiffrement est effectué au niveau du service, il n’y a aucune perte de fonctionnalités au niveau du service Cloud On a 3 déclinaisons sur la gestion des clés avec une progression dans le contrôle des clés les clés sont créées et gérées par le service lui-même, ce qui implique que toute cette gestion est transparente vis-à-vis de l’utilisateur Le service s’appuie sur Azure Key Vault et est en mesure d’utiliser des clés maître générées par le client lui-même Le service s’appuie sur des clés créées et gérées en interne par le client Dans ces 3 cas, le service a accès aux données en clair : le chiffrement des données se fait avec des clés symétriques créées et gérées par le service qui sont ensuite protégées par la clé maître du client Quand la clé maître se trouve dans le HSM, elle n’est pas exportable, c’est-à-dire que Microsoft n’y aura jamais accès, mais elle peut être utilisée pour effectuer des opérations cryptographiques, comme chiffrer des clés symétriques. Chiffrement côté client Lorsque le chiffrement est effectué au niveau du client, c’est-à-dire avant de mettre la donnée à disposition du service, ce dernier ne possédant pas les clés pour déchiffrer n’aura aucune accès aux données en clair. Il est résulte que les fonctionnalités en seront réduites: sans possibilité d’accéder aux données en clair, impossibilité de faire des recherches ou d’indexer. On a donc forcément un compromis à trouver en fonction des fonctionnalités recherchées et de la sensibilité des données traitées. Lorsque l’on travaille en mode PaaS, sachant que l’on développe l’application, on a plus de latitude pour l’implémentation du chiffrement ; la réflexion doit se faire en fonction de la sensibilité des données et en fonction du ou des services que l’on utilise.
- Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Office 365 pour les données en transit et les catégoriser Description : Office 365 chiffre les données en transit afin que les données restent en permanence protégées. Protection avec TLS (HTTPS) : Le client accède aux services via une connexion Internet établie depuis l'emplacement où il travaille et qui aboutit dans les centres de données Microsoft. Ces connexions sont chiffrées via le standard TLS (Transport Layer Security). Ainsi, le lien entre le client et le serveur est sécurisé afin de protéger la confidentialité des données et l'intégrité entre le poste de travail et le centre de données. Pages de Qualys TLS : Portail Office 365 : https://www.ssllabs.com/ssltest/analyze.html?d=portal.office.com&hideResults=on Exchange Online : https://www.ssllabs.com/ssltest/analyze.html?d=outlook.office365.com&hideResults=on&latest SharePoint Online : https://www.ssllabs.com/ssltest/analyze.html?d=microsoft%2dmy.sharepoint.com&hideResults=on&latest Skype Entreprise (SIP) : https://www.ssllabs.com/ssltest/analyze.html?d=sipdir.online.lync.com Skype Entreprise (Web) : https://www.ssllabs.com/ssltest/analyze.html?d=webdir.online.lync.com&hideResults=on Exchange Online Protection : https://ssl-tools.net/mailservers/microsoft-com.mail.protection.outlook.com Dans SharePoint One et OneDrive Entreprise, il existe deux scénarios dans lesquels les données entrent et sortent des centres de données. Communication du client avec le serveur La communication vers OneDrive Entreprise sur Internet utilise des connexions TLS. Toutes les connexions TLS sont établies à l’aide de clés 2048 bits. Déplacement de données entre des centres de données La raison principale du déplacement de données entre des centres de données est de permettre la récupération d’urgence via la géo-réplication. Par exemple, les deltas de stockage d’objets blob et les journaux de transaction SQL Server transitent par ce canal. Alors que ces données sont déjà transmises par le biais d’un réseau privé, elles sont encore mieux protégées à l’aide du meilleur chiffrement de sa catégorie.
- Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Office 365 pour les données au repos ET expliquer la proposition de valeur du chiffrement avancé (Advanced Encryption) et la différence avec BitLocker, ainsi que le chiffrement par fichier (per-file encryption) Description du chiffrement avancé: Evolution du chiffrement dans Office 365 de deux composants Chiffrement par l'intermédiaire de code de service vs. Windows BitLocker Contrôle client facultatif des clés maître utilisées pour le chiffrement par le code de service, alias BYOK (apportez votre propre clé) ou CYOK (contrôle de votre propre clé) Le champ d'application de chiffrement avancé est le contenu client stocké au repos dans les boîtes aux lettres Exchange Online et dans les bases de données de contenu SharePoint Online Le contenu client Exchange Online inclut les messages électroniques (y compris les pièces jointes), les éléments de calendrier, les notes, les tâches, les dossiers, etc. Le contenu client SharePoint Online désigne les fichiers stockés dans SharePoint Online par un utilisateur final Les données clients sont toujours stockées chiffrées En intégrant le chiffrement directement dans la pile applicatif Office 365, nous vous donnons l'assurance que vos données sont protégées indépendamment de leur emplacement de stockage ou de la présence d’un administrateur sur le serveur. Si je QUITTE Office 365, Microsoft n'a pas accès à mes données Le chiffrement avec une clé maitre spécifique au locataire permet de révoquer la clé lors de la résiliation d’Office 365. Le contrôle des clés maitres répond à certaines exigences de conformité. Meilleur isolation des données par rapport aux opérateurs HUMAINS BitLocker est lié au modèle d'administration de Windows Server. Le chiffrement au niveau de l’application fournit une forte séparation entre les données des clients et les opérateurs du serveur. Les clés racine sont protégés par Azure Key Vault Les clés de service sont protégés en les chiffrant à l'aide d'une clé de chiffrement plus élevée dans la chaîne de clés Azure Key Vault offre de la haute disponibilité et un SLA de 99,9 % La rotation des clés est assurée par vos soins Les applications Office 365 interagissent avec Azure Key Vault, tout comme le ferait n'importe quelle autre application Azure Key Vault détermine la prise en charge de modules HSM – Voir documentation afférente Les clés de chiffrement de données sont « emballées » par une clé de portée, elle-même « emballée » par une clé racine Pour Exchange Online, la portée est la collection de boîtes aux lettres ; pour SharePoint c'est la collection de sites Pour utiliser le BYOK, un emplacement de la clé Azure Key Vault doit être fourni à Office 365, l'autorisation d’« emballer »/« désemballer » doit être accordée et toutes les exigences en matière de licences doivent avoir été remplies. Vous devez utiliser les méthodes décrites dans la documentation d'Azure Key Vault pour générer et importer vos propres clés. Cf. https://azure.microsoft.com/fr-fr/services/key-vault Un processus en 6 étapes : Vous activez Azure Key Vault et sélectionner un SKU géo-redondant lors de la création des coffres de clés au sein des géographies souhaitées Vous créez ou importez une paire de clés et accordez l'accès à votre abonnement Office 365 Vous mettez à jour la configuration de votre locataire Office 365 avec les informations sur les clés de chiffrement Office 365 extrait la clé publique du locataire, crée des clés de politique et utilise la clé publique de votre coffre de clés Azure Key Vault pour chiffrer la clé de politique Office 365 Vous affectez la politique aux boîtes aux lettres ou aux collections de site Office 365 utilise la clé de politique attribuée pour chiffrer la clé de boîtes aux lettres ou de collections de site Description du chiffrement par fichier : Les fichiers sont découpés en morceaux/fragments (chunks) en fonction de la taille Se base sur Shredded Storage introduit avec SharePoint 2013 Offre de meilleur performance et optimise le stockage (versions de fichiers) Chaque morceau de fichier est chiffré avec une clef AES-256 bits unique Les clefs sont protégées et chiffrées dans la base de contenu SharePoint (SharePoint Content Database) La clef maître est stockée dans le Key Store (protégée par SQL TDE) Key Store dédiée BYOK avec le chiffrement avancé pour Office 365 Les morceaux de fichiers sont enfin stockés sur Azure aléatoirement dans plusieurs conteneurs Azure Storage sous forme de blob Utilisation de Microsoft Azure Engagement de stocker les données Azure dans la même géographie qu’Office 365 L’accès aux comptes de stockages Azure est contrôlée à l’aide de crédentiels séparés. http://blogs.office.com/2015/01/30/data-encryption-works-onedrive-business-sharepoint-online/ Le chiffrement lors du stockage comprend deux composants : le chiffrement au niveau du disque BitLocker et le chiffrement par fichier du contenu client. Alors que BitLocker chiffre toutes les données sur un disque, le chiffrement par fichier va plus loin en ajoutant une clé de chiffrement unique pour chaque fichier. En outre, chaque mise à jour de chaque fichier est chiffrée à l’aide de sa propre clé de chiffrement. Avant d’être stockées, les clés permettant d’accéder au contenu chiffré sont elles-mêmes chiffrées et stockées dans un emplacement physiquement distinct du contenu. Chaque étape de ce chiffrement utilise la méthode AES (Advanced Encryption Standard) avec des clés 256 bits et est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. Le contenu chiffré est réparti sur un certain nombre de conteneurs dans l’ensemble du centre de données, et chaque conteneur possède des informations d’identification uniques. Ces informations sont stockées dans un emplacement physique distinct du contenu ou des clés de contenu.
- Objectifs : Illustrer qu’Azure RMS (pour Office 365)/Azure Information Protection est la solution pour protéger les données en situation de mobilité et collaboratif Description : Permet de protéger des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, à l’intérieur ou à l’extérieur du périmètre du système d’information. Azure RMS utilise le format XrML avec une clé RSA 2048 bits (Windows) ou JSON (mobile), pour représenter les entités et exprimer des politiques d’usage Les certificats utilisent des clés RSA de module 2048 bits Les licences ont une clé de contenu AES 128 bits Les signatures utilisent un condensat SHA-256 Azure RMS est une technologie contribuant à la protection des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, sur votre réseau ou à l’extérieur du périmètre de votre système d’information. Les utilisateurs peuvent définir exactement comment le destinataire pourra utiliser les données Les organisations peuvent créer des modèles de politiques de sécurité personnalisés et les gérer de manière centralisée (ex : template RMS « Affichage confidentiel uniquement ») Permet aux développeurs de construire des solutions de protection des données flexibles et personnalisables http://thermsguy.blob.core.windows.net/slides/AzureRMS-SecurityEvaluation-v1.docx
- Objectifs : Montrer quels sont les risques couverts selon les technologies employées avec Office 365 Description Faire la différence entre vol d’information et fuite d’information. Vol d’information : vol volontaire d’information par une personne déterminée qui cherche à pirater. Fuite d’information : suite à événement accidentelle, par exemple perte d’un ordinateur portable qui n’a pas de protection, pas de chiffrement. Expliquer que chaque fonctionnalité de sécurité permet de se protéger et de couvrir un risque. Montrer également qu’il ne faut pas uniquement considérer les options de chiffrement.
- Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Azure pour les données en transit et les catégoriser Description : Azure chiffre les données en transit afin que les données restent en permanence protégées. Protection à l’aide de TLS avec HTTP : Le client accède aux services Azure via une connexion Internet établie depuis l'emplacement où il travaille et qui aboutit dans les centres de données Microsoft. Ces connexions sont chiffrées via le standard TLS (Transport Layer Security). Ainsi, le lien entre le client et le serveur est sécurisé afin de protéger la confidentialité des données et l'intégrité entre le poste de travail et le centre de données. Page de Qualys TLS : Portail Azure : https://www.ssllabs.com/ssltest/analyze.html?d=portal.azure.com&hideResults=on Version de TLS utilisées, suites cryptographiques, Perfect Forward Secrecy (PFS)
- Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Azure pour les données au repos + Azure Machine Learning WorkSpaces, Azure Stream Analytics, Azure Media Services
- Objectifs: Permet de décrire une vue d’ensemble de Azure Disk Encryption Fonctionnalités Azure Disk Encryption permet de chiffrer les disques OS et données des VM Windows et Linux S’appuie sur BitLocker (VM Windows) et DM-Crypt (VM Linux) La solution est intégrée avec Azure Key Vault pour donner au client le contrôle des clés de chiffrement des disques (clés BitLocker) et des secrets (Passphrase pour Linux) Toutes les données sont chiffrées dans Azure Storage du client La gestion des clés est intégrée dans le Key Vault créé et géré par le client avec utilisation de la technologie HSM (boitier physique hébergé dans le centre de données) Possibilité de créer ou d’importer une KEK (Key Encryption Key : RSA 2048) pour protéger les clés de chiffrement BitLocker Le client accorde des accès en lecture-écriture au container Key Vault à une identité Azure AD pour permettre le chiffrement des volumes Les administrateurs Azure n’ont aucun accès au coffre Azure Key Vault du client utilisé pour la solution de chiffrement. Le chiffrement peut s’appliquer sur des VM en cours d’exécution, des VM créées depuis la Galerie ou des VM déjà chiffrées importées par le client (importation du VHD déjà chiffré et clés de chiffrement) Ressources Vidéo Concrètement Episode 7 - Azure Disk Encryption : https://channel9.msdn.com/Blogs/Concretement/Episode-7-Azure-Disk-Encryption Cours MVA Module 3 : https://mva.microsoft.com/fr-fr/training-courses/azure-key-vault-en-pratique-16572?l=svn7dFdgC_1205192797 Billet http://blogs.msdn.com/b/azuresecurity/archive/2015/11/17/azure-disk-encryption-for-linux-and-windows-virtual-machines-public-preview.aspx Livre blanc Azure Disk Encryption for Windows and Linux Azure Virtual Machines : https://gallery.technet.microsoft.com/Azure-Disk-Encryption-for-a0018eb0 Modèles ARM : https://azure.microsoft.com/fr-fr/documentation/templates/?term=encryption
- Objectifs : Description des différentes fonctionnalités de chiffrement avec une catégorisation par type de chiffrement et par gestion des clés Description Le chiffrement transparent des données de la base de données effectue le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions sans nécessiter de modifications de l'application. L'ensemble de la base de données est chiffré à l'aide d'une clé symétrique (AES-256), appelée clé de chiffrement de base de données. Dans la base de données SQL, la clé de chiffrement de base de données est protégée par un certificat géré par SQL Server (VM) ou le service Azure SQL Database. (Le certificat est unique pour chaque serveur de base de données SQL.) La clé de chiffrement peut être stockée dans Azure Key Vault avec SQL server (VM) Avec Azure SQL Database, toute la gestion des clés pour la copie des bases, la géo-réplication ou la restauration est prise en charge par le service Si une base de données a une relation de géo-réplication, elle est protégée par une clé différente sur chaque serveur. Si deux bases de données sont connectées au même serveur, elles partagent le même certificat. Microsoft fait alterner automatiquement ces certificats au moins tous les 90 jours. Pour l’activation de cette fonction avec Azure SQL Database, il suffit de 2 clics au niveau de la base de données à partir du portail Azure : cliquer sur ON, puis Sauvegarder, c’est tout! Plus Le chiffrement du fichier de la base de données est effectué au niveau de la page. Les pages dans une base de données chiffrée sont chiffrées avant d'être écrites sur le disque et déchiffrées lors de la lecture en mémoire. TDE n’augmente pas la taille de la base de données chiffrée TDE utilise AES-256 (avec Intel Data Protection Technology with Advanced Encryption Standard New Instructions (AES-NI) pour de meilleures performances sur Azure SQL database). Toute la gestion des clés et des certificats est prise en charge par Azure SQL Ressources Announcing Transparent Data Encryption for Azure SQL Database https://blogs.msdn.microsoft.com/sqlsecurity/2015/04/29/announcing-transparent-data-encryption-for-azure-sql-database/ Chiffrement transparent des données avec Azure SQL Database https://msdn.microsoft.com/library/dn948096.aspx Chiffrement transparent des données (TDE) https://msdn.microsoft.com/fr-fr/library/bb934049.aspx SQL Encryption with Hardware Security Modules http://www.safenet-inc.com/data-protection/database-encryption/sql-encryption/
- Objectifs : Description du chiffrement Azure SQL Always Encrypted Description Always Encrypted est une fonctionnalité conçue pour protéger les données sensibles, telles que les numéros de carte de crédit ou un numéro d'identification national (par exemple les numéros de sécurité sociale), stockées dans des bases de données SQL Server. Always Encrypted permet aux clients de chiffrer des données sensibles à l'intérieur d’applications clientes sans jamais révéler les clés de chiffrement à SQL. En conséquence, Always Encrypted fournit une séparation entre ceux qui possèdent les données (et peuvent les voir) et ceux qui gèrent les données (mais ne devrait pas y avoir accès). Les clés de chiffrement sont gérées à l'extérieur de la base de données pour une sécurité maximale et la séparation des fonctions. Seuls les utilisateurs autorisés ayant accès aux clés de déchiffrement peuvent voir les données non chiffrées tout en utilisant vos applications. Always Encrypted rend le chiffrement transparent pour les applications. Un pilote installé sur l'ordinateur client chiffre et déchiffre automatiquement les données sensibles dans l'application cliente. Le pilote chiffre les données dans les colonnes sensibles avant de les transmettre au moteur de base de données, et automatiquement réécrit les requêtes de telle sorte que la sémantique de l'application soit conservée. De même, le pilote déchiffre de manière transparente les données contenues dans les résultats de la requête et qui sont stockées dans des colonnes chiffrées,. Impacts fonctionnels Pas de modification de l’application et les données sont lisibles depuis l’application (les opérations de chiffrement/déchiffrement sont effectuées de manière transparente par le client) On dispose de 2 options de chiffrement Chiffrement aléatoire Permet la récupération transparente des données chiffrées, mais AUCUNE OPERATION Plus sûr en raison de la nature aléatoire du chiffrement Chiffrement déterministe Permet la récupération transparente des données chiffrées ET comparaison sur égalité Par exemple les clauses et jointure WHERE, distinct, group by Ressources Always Encrypted in SQL Server & Azure SQL Database https://blogs.technet.microsoft.com/dataplatforminsider/2015/11/18/always-encrypted-in-sql-server-azure-sql-database/ Always Encrypted (moteur de base de données) : https://msdn.microsoft.com/fr-fr/library/mt163865.aspx Chiffrement intégral : Protéger les données sensibles dans Base de données SQL et stocker vos clés de chiffrement dans Azure Key Vault : https://azure.microsoft.com/fr-fr/documentation/articles/sql-database-always-encrypted-azure-key-vault/
- Objectifs : Description des options de chiffrement du stockage Azure côté client Fonctionnalités côté client Chiffrement/ Déchiffrement La librairie Azure Storage côté client génère une clé de chiffrement de contenu CEK (content encryption key), clé symétrique AES 256. Les données sont chiffrées avec cette CEK et cette clé est elle-même chiffrée avec une KEK (key encryption key) qui peut être gérée localement ou dans Azure Key Vault. Les données sont alors transférées dans le service Azure Storage. La clé CEK (chiffrée) est stockée sous forme de métadonnées (Blob) ou intégré avec les données chiffrées (queue messages et entités de tables). La librairie n’a jamais accès à la KEK; elle invoque simplement l’algorithme de wrapping (emballage) de la CEK fourni par Key Vault. L’utilisateur peut choisir sa propre KEK Le déchiffrement se fait en sens inverse: la CEK est récupérée et déchiffrée par la KEK au niveau client pour ensuite déchiffrer les données. Table et file d’attente de messages (message Queue) Table : Le client génère un vecteur d’initialisation (random Initialization Vector ou IV) de 16 octets et une CEK de 32 octets pour chaque entité. Chaque propriété est ensuite chiffrée en dérivant un nouveau IV pour chacune des propriétés. Ressources Chiffrement côté client et Azure Key Vault pour Microsoft Azure Storage : https://azure.microsoft.com/fr-fr/documentation/articles/storage-client-side-encryption/ Chiffrement côté client avec Java pour Microsoft Azure Storage : https://azure.microsoft.com/fr-fr/documentation/articles/storage-client-side-encryption-java/ Fonctionnalités côté service Fonctionnalités Chiffrement au niveau du stockage Azure pour le stockage Blob (block, append et page); voir ci-dessous pour plus de précision sur les types de Blob Disponible pour tout nouveau compte de stockage crée avec Azure Resource Manager Les données sont chiffrées en AES 256 avec des clés gérées par Microsoft Important pour des aspects Conformité (il est possible de répondre aux attentes d’appel d’offre et « de cocher la case, chiffrement au repos ») Chaque opération d’écriture utilise une nouvelle clé dérivée d’une clé de chiffrement elle-même chiffrée avec une clé maître Plus d’information https://blogs.msdn.microsoft.com/windowsazurestorage/2016/03/31/cross-post-announcing-the-preview-of-azure-storage-service-encryption-for-data-at-rest/ Azure Storage Service Encryption pour les données au repos (version préliminaire) : https://azure.microsoft.com/fr-fr/documentation/articles/storage-service-encryption/ Blob Storage Azure Blob storage est un service permettant de stocker de grandes quantités de données non structurées, telles que du texte ou des données binaires, qui peut être accessible de partout dans le monde via HTTP ou HTTPS. Il est possible d’utiliser le stockage de Blob pour rendre des données accessibles publiquement, ou au contraire pour les stocker des données d'application de manière privée. Blob: Un fichier de tout type et toute taille. Azure Storage offre trois types de blobs: les blobs de type block, page ou ajout (append) Block blobs : idéal pour stocker des fichiers de type texte ou binaire, tels que des documents ou des fichiers média Append blobs Identiques à des blobs de type block de par le fait qu’ils soient composes de blocs, mais optimisés pour des opérations d’ajout; particulièrement intéressant pour des scenarios de journalisation Page blobs Peuvent avoir une taille jusqu’à 1 To, et plus efficaces pour des opérations fréquentes de lecture/écriture. Les machines virtuelles Azure utilisent des blobs de type page pour les disques système et données
- Objectifs : Montrer quels sont les risques couverts selon les technologies employées Description Le tableau détaille 3 risques principaux couverts ou non en fonction des technologies La possibilité pour un administrateur/opérateur malveillant du côté du fournisseur de Cloud d’accéder aux données Le risque de vol d’information que l’on associe à une action proprement malveillante La fuite d’information que l’on associe plutôt à une action involontaire aboutissant à la diffusion d’information des frontières autorisées On observe que L’ensemble des solutions de chiffrement protègent contre le vol d’information; en effet, dès lors que les données sont chiffrées au repos sur leurs supports, le vol des supports ne permet pas d’accéder aux données qu’ils hébergent. Le chiffrement des communications par HTTPS avec TLS protège les données en transit contre l’interception qui aboutirait à un vol ou fuite d’informations Le risque de fuite d’information n’est pas couvert pour les 4 dernières solutions car un utilisateur autorisé pourra accéder aux données en clair et involontairement les recopier ou les envoyer En toute logique, seules les 2 solutions chiffrant les données côté client sont celles qui protègent contre un administrateur malveillant côté fournisseur de Cloud au détriment d’une éventuelle perte de fonctionnalité; les données étant chiffrées avant d’être copiées dans le Cloud, elles ne sont PAS disponibles en clair sur le support ou en mémoire de la part du service Cloud.
- Objectifs : Proposer une synthèse de ce qui a été abordé en ligne avec la catégorisation proposée : chiffrement cloud vs. chiffrement client par exemple Description : Dans les parties supérieure et inférieure, on trouve respectivement les solutions de chiffrement disponibles dans notre offre SaaS Office 365 et dans Azure. Dans la partie gauche, les fonctions de chiffrement disponibles au niveau du service Cloud lui-même et dans la partie droite, les solutions à mettre en œuvre du côté client. Certaines solutions sont implémentées par le service lui-même et transparentes, par exemple le chiffrement par fichier disponible sur SharePoint Online et OneDrive Entreprise D’autres sont des solutions complémentaires qui peuvent être activées selon les utilisateurs ou les données, par exemple RMS pour Office 365 côté Cloud. Concernant Azure, la protection peut être implémentée côté client par l’application pour chiffrer les données avant leur stockage dans Azure en limitant la complexité d’implémentation par le biais de bibliothèques
- Objectifs : Montrer un ensemble de risques qui ne sont pas couverts par le chiffrement Disponibilité Le chiffrement protège les données mais sa mise en œuvre n’est pas sans contrepartie; il faut en effet gérer les clés de chiffrement et toute erreur humaine dans la gestion des clés peut provoquer la perte des données que l’on cherchait justement à protéger. De la même manière, un déni de service sur le dispositif charger de déchiffrer les données impliquera une indisponibilité de l’accès à ces dernières Intégrité des données Si les données sont corrompues, le chiffrement ne sera d’aucun secours; seules de sauvegardes permettront de récupérer les données dans un état cohérent (éventuellement avec une perte sur les données les plus récentes) Confidentialité La confidentialité des données est garantie mais les personnes autorisées auront le droit d’accéder aux données en clair. Le chiffrement ne garantira pas l’accès aux données si l’identité d’une personne autorisée a été usurpée. Les mesures pour limiter les risques d’usurpation d’identité des personnes à pouvoir doivent être mises en œuvre parallèlement comme par exemple l’authentification multifacteur ou le renforcement des postes des administrateurs (comptes à pouvoir) Traçabilité L’audit des accès aux données chiffrées (et à l’utilisation des clés de chiffrement) reste nécessaire pour s’assurer que seules les personnes autorisées y accèdent
- Objectifs : Montrer quelles autres protections sont nécessaires au-delà du chiffrement Description Par rapport aux risques résiduels décrits précédemment, on illustre que les protections doivent être mises Au niveau des données elles-mêmes par le chiffrement mais également par des sauvegardes des données et des clés de chiffrement Au niveau de l’accès aux données : un contrôle d’accès rigoureux et audité est nécessaire pour garantir que seules les personnes autorisées y auront accès et être capable de détecter des comportements suspects pouvant indiquer une usurpation d’identité Enfin pour les appareils utilisés par les personnes à privilèges (par exemple les administrateurs chargés du contrôle d’accès ou de la gestion des clés), dont il est important de renforcer la sécurité.
- Azure Trust Center: https://azure.microsoft.com/en-us/support/trust-center/ We take seriously our commitment to safeguard our customers’ data, to protect their right to make decisions about that data, and to be transparent about what happens to that data. We are guided by a set of “Trusted Cloud Principles,” that articulate our vision of what enterprise organizations are entitled to expect from their cloud provider: Security: The confidentiality, integrity, and availability of your data is secured. Microsoft cloud services are designed, developed, and operated to help ensure that your data is secure. Privacy & Control: No one is able to use your data in a way that you do not approve. Microsoft prioritizes your data privacy; our commercial cloud customers own their data and we don’t use it to deliver targeted advertising Compliance: You can meet your regulatory obligations. This means we support you with certified compliance credentials, backed by third-party audits. Transparency: You understand how your data is being handled and used. This means we provide an appropriate level of transparency into security, privacy and compliance practices and actions to help protect your information.