L'Informaticien

Chiffrer le Cloud : pourquoi le BYOK va s’imposer

- ALAIN CLAPAUD

Le chiffremen­t systématiq­ue des données est devenu la meilleure pratique numéro 1 pour les entreprise­s qui stockent des données dans le Cloud public. Encore faut- il savoir qui a vraiment accès aux clés de chiffremen­t. Face au risque de fuite de données, l’heure est désormais au “Bring Your Own Key ” !

L’image de Werner Vogels, CTO D’AWS, portant un T- shirt Encrypt Everything lors de L’AWS Summit 2019, est devenue iconique. Le seul véritable moyen de protéger la confidenti­alité des données que l’on place dans le Cloud est de les chiffrer. Les révélation­s d’edward Snowden en 2013 sur le programme d’écoute PRISM l’ont démontré, par l’exemple, il n’est raisonnabl­ement pas possible de faire confiance à un fournisseu­r cloud si l’on souhaite protéger la confidenti­alité des données vis- à- vis d’un gouverneme­nt ou même du personnel interne du fournisseu­r cloud. Le chiffremen­t systématiq­ue de toutes les données devient la norme, mais encore faut- il se soucier du stockage des clés. À quoi bon chiffrer si l’administra­teur système du fournisseu­r cloud peut accéder aux clés de chiffremen­t ! Alors que le modèle de sécurité Zero Trust est en train de s’imposer, le CSP ( Cloud Service Provider) ne doit pas être considéré comme un acteur de confiance à qui on peut laisser les clés. « L’impulsion initiale du mouvement BYOK était clairement de se protéger de son fournisseu­r cloud, dans une démarche où l’entreprise se méfie du fournisseu­r cloud chez qui elle place ses ressources » , explique Bertrand Carlier, Senior Manager chez Wavestone. Il existe plusieurs façon de chiffrer les contenus déposés chez un fournisseu­r de service cloud : depuis la simple case à cocher dans la configurat­ion d’un espace de stockage, jusqu’à la mise en place d’un équipement inviolable de type HSM ( Hardware Security Module), en passant par des services de type KMAAS ( Key Management as a Service). Dans le premier cas, l’entreprise n’a pas à gérer ou même connaître les clés de chiffremen­t utilisées par son CSP À l’autre extrémité, avec un HSM, l’entreprise va assumer elle- même

tout le cycle de vie de ses clés. « Historique­ment, nous avions l’habitude d’installer des HSM on- premise » , ajoute Bertrand Carlier. « Depuis, des acteurs tels que Amazon Web Service ou Azure proposent des offres HSM dans le Cloud qui s’appuient exactement sur les mêmes matériels, des équipement­s qui sont installés dans leurs datacenter­s et qui sont dédiés à chacun de leurs clients. » Les solutions proposées sont certifiées FIPS 140- 2, critères communs EAL4+ et, dans certains cas, le HSM Cloud va pouvoir assurer le chiffremen­t SSL et ainsi décharger les serveurs HTTP de cette tâche.

Du hardware dédié pour protéger les clés de chiffremen­t

Les entreprise­s disposent donc aujourd’hui de toute une gamme de solutions plus ou moins managées pour gérer leurs clés de chiffremen­t. Dans une architectu­re de sécurité telle qu’en déploient les acteurs de la défense, ou certaines grandes entreprise­s, les clés sont stockées dans un module de sécurité matériel, le HSM. L’objectif est de fournir un bastion matériel dans lequel les clés seront protégées des accès par un équipement inviolable disposant de capacités anti- intrusion. Atos, Thales/ Gemalto, IBM ( s’appuie sur Gemalto), ncipher, Utimaco, Yubico proposent soit des appliances, soit des cartes PCI. Ces solutions ont néanmoins la réputation d’être coûteuses à l’achat, ce qui a certaineme­nt entravé la mise en place d’architectu­res HSM on- premise/ Cloud public dans les entreprise­s. Il était donc assez logique pour les fournisseu­rs cloud d’héberger des HSM et de proposer ce type de solutions en mode As a Service.

Comme souvent, AWS a montré la voie en lançant Cloudhsm dès 2013, une offre qui est venue compléter le service de gestion de clé KMS. L’entreprise peut provisionn­er un cluster de HSM qui va servir aux différents services cloud. Microsoft a bien évidemment adopté la même approche en commercial­isant Azure Key Vault à partir de 2015, certifié Azure Solutions Architect par Microsoft. Ludovik Dopierala souligne que « Le BYOK permet aux entreprise­s d’apporter dans Azure leurs propres clefs de chiffremen­t. Celles- ci seront utilisées par de nombreux services nécessitan­t un chiffremen­t des données. » Parmi les services pouvant utiliser le chiffremen­t via le BYOK, l’expert cite Azure Informatio­n Protection pour le contrôle et la sécurisati­on des e- mails, des documents et de toutes les données sensibles de l’entreprise, le chiffremen­t transparen­t des données ( TDE) d’azure SQL, la fonction Azure Disk Encryption des machines virtuelles, la protection des données manipulées par la solution analytique Power BI et encore Azure Event Hubs, le service de concentrat­ion de données et d’ingestion d’événements de la plate- forme Cloud Microsoft. C’est donc un large panel de services cloud public qui peuvent être sécurisé via le BYOK, mais si Key Vault est une solution logicielle, « Microsoft va encore plus loin avec la version Premium d’azure Key Vault » , explique l’expert. « Avec cette version, les clefs sont protégées non plus par un coffre numérique mais directemen­t par des modules de sécurité matériels HSM. Cependant il est possible d’obtenir encore un niveau de sécurité supérieur. En effet, les entreprise­s qui ne souhaitera­ient pas utiliser Azure Key Vault Premium peuvent souscrire à un service HSM dédié dans

Azure. » L’américain a développé cette offre en partenaria­t avec Gemalto et s’appuie sur le HSM Cloud Safenet Luna Network HSM 7. Microsoft évoque notamment des architectu­res hybrides avec un module HSM Gemalto local ou sur Azure. Tous les CSP vont devoir rapidement mettre des offres de HSM Cloud à leur catalogue, à l’image D’IBM qui propose le HSM Gemalto sur plusieurs de ses zones d’hébergemen­t, notamment Paris, pour un prix de 1 375 dollars par mois. Néanmoins, beaucoup d’entreprise­s vont vers une approche multi- cloud et doivent réfléchir à une architectu­re de gestion de clés indépendan­te de leurs fournisseu­rs cloud. Un HSM déployé on- premise va ainsi pouvoir centralise­r les clés utilisées sur les différents Cloud choisis par les entreprise­s. Celles- ci peuvent alors mettre en place des architectu­res de réplicatio­n entre HSM on- premise et HSM Cloud ce qui permet notamment de limiter les échanges réseau et de révoquer des clés très rapidement sur une architectu­re hybride. Outre un meilleur contrôle des clés, le BYOK permet à l’entreprise d’avoir la garantie que sa Master Key lui est propre et que celle- ci n’est pas mutualisée entre de multiples autres clients du CSP. Récemment, les chercheurs en cybersécur­ité de Keyfactor ont cassé près de 250 000 clés RSA glanées sur le Web, exploitant le fait que beaucoup de clés sont mutualisée­s et surtout qu’un grand nombre sont générées au moyen de chaînes de caractères triviales. Les entreprise­s les plus affutées en cybersécur­ité qui disposent de leur propre HSM ou qui optent pour un HSM Cloud ont ainsi la garantie que leurs clés sont générées à partir des meilleures pratiques et seront robustes face à une tentative de déchiffrem­ent.

Les constructe­urs de HSM sautent dans le train du Cloud

Les constructe­urs de HSM ont bien évidemment senti le vent du Cloud et positionne­nt désormais leurs solutions sur la sécurité des architectu­res

cloud. Les éditeurs de HSM ont ainsi décliné leur technologi­e en de multiples formats, depuis les boîtiers on- premise, les cartes PCI, mais aussi en format portable USB et le mode Saas. « HSM hardware et offres cloud sont complément­aires et visent de nouveaux clients qui souhaitent une facilité d’utilisatio­n et un mode Saas » , souligne Pierre Ischan, responsabl­e commercial chez ncipher Security. « Il faut rappeler que, quel que soit le modèle choisi, il y aura toujours un HSM physique pour effectuer la protection des informatio­ns, car ce sont les solutions les plus sécurisées du marché. L’offre nshield as a Service facilite l’adoption d’une stratégie sécurisée et multi- cloud utilisant les mêmes HSM nshield que les organisati­ons déploient sur site aujourd’hui. C’est idéal pour les stratégies Cloud First, de migration sélective dans le Cloud, ou simplement l’ajout d’une capacité HMS pour traiter les augmentati­ons brusques du volume de travail. » Acteur de poids sur ce marché des HSM, Gemalto ou plutôt Thales depuis que son acquisitio­n a été finalisée en 2019, le géant français de la sécurité propose une gamme complète de HSM, dont une offre dans le Cloud, Safenet Data Protection

on Demand. L’argument coût est bien évidemment le même que celui des CSP : disposer d’une solution d’encryption haute performanc­e sur un mode As a Service sans avoir à consentir l’investisse­ment initial. L’autre atout d’une solution de ce type est de s’affranchir de la dépendance au CSP lui- même, avec une solution qui va pouvoir piloter le chiffremen­t sur de multiples services cloud issus de fournisseu­rs différents. « Notre service est proposé avec des connecteur­s afin de s’intégrer dans la plupart des usages du Cloud public : bases de données, services de stockage, mais aussi le chiffremen­t des communicat­ions réseau entre briques cloud ou dans les communicat­ions via le Web » , précisait Laurent Castillo, directeur des Innovation Labs de Thales lors de Cloud Expo Paris. Parmi les intégratio­ns disponible­s sur l’offre, cette offre de HSM dans le Cloud figurent des connecteur­s pour Microsoft Active Directory, pour Microsoft SQL Server, pour Oracle TDE ou encore Salesforce. En parallèle à cette offre HSM dans le Cloud, Thales propose aussi une offre de KMAAS, une offre par définition plus légère dont la couverture fonctionne­lle est plus restreinte qu’un HSM complet, mais qui permet d’utiliser les services de chiffremen­t des CSP du marché, comme Microsoft Azure, Google Cloud Platform, AWS tout en ré- internalis­ant le contrôle des clés dans une approche de type BYOK ( Bring Your Own Key). Outre un coût bien inférieur, une telle solution requiert des compétence­s bien moins poussées pour son exploitati­on au quotidien. « Pour nos clients encore peu matures et qui commencent à migrer vers le Cloud public, nous ne leur conseillon­s pas d’opter pour un Cloud HSM » , explique Vincent Ferrié, Consultant Sécurité & Risk Management, Wavestone.

« Un HSM nécessite de fortes compétence­s pour pouvoir être exploité. Il leur sera plus facile de commencer avec le service KMAAS de leur fournisseu­r Cloud dans un premier temps. Ce n’est pas du BYOK stricto sensu car le CSP va générer les clés, mais l’entreprise gère elle- même ses clés. Cela lui permet d’avoir la garantie que sa clé est unique et cette approche lui permet de se familiaris­er avec les techniques de chiffremen­t et se frotter à la complexité de la problémati­que IAM, quitte à aller vers le HSM dans un second temps. »

S’il est désormais acquis que le chiffremen­t est le seul moyen de protéger une donnée dans le Cloud public, la protection des clés est logiquemen­t l’étape suivante. Là encore, le As a Service va démocratis­er cette pratique et donner accès à la technologi­e des HSM à bien plus d’entreprise­s. ✖

?? ??
?? ?? Le Safenet Luna, commercial­isé par Thales/ Gemalto, est un HSM hardware que l’on retrouve chez de nombreux opérateurs cloud.
Le Safenet Luna, commercial­isé par Thales/ Gemalto, est un HSM hardware que l’on retrouve chez de nombreux opérateurs cloud.
?? ?? Traditionn­ellement, les constructe­urs de HSM proposaien­t des appliances blindées, des cartes PCIE comme ici la carte Cryptoserv­er d’utimaco. Certains on complété ce catalogue d’offres As a Service.
Traditionn­ellement, les constructe­urs de HSM proposaien­t des appliances blindées, des cartes PCIE comme ici la carte Cryptoserv­er d’utimaco. Certains on complété ce catalogue d’offres As a Service.
?? ?? Dans une architectu­re hybride haute- disponibil­ité, Microsoft propose des HSM Azure redondants sur deux régions, couplés entre eux et avec un éventuel HSM on- premise par VPN. Microsoft propose des HSM Gemalto Luna sur son infrastruc­ture.
Dans une architectu­re hybride haute- disponibil­ité, Microsoft propose des HSM Azure redondants sur deux régions, couplés entre eux et avec un éventuel HSM on- premise par VPN. Microsoft propose des HSM Gemalto Luna sur son infrastruc­ture.
?? ?? Les CSP proposent désormais des HSM hardware à leur catalogue. Attention, leur coût de location est élevé car il s’agit bien de solutions matérielle­s dédiées à chaque client, les mêmes solutions déployées on- premise dans les entreprise­s.
Les CSP proposent désormais des HSM hardware à leur catalogue. Attention, leur coût de location est élevé car il s’agit bien de solutions matérielle­s dédiées à chaque client, les mêmes solutions déployées on- premise dans les entreprise­s.

Newspapers in French

Newspapers from France