"Les organisations de toute taille s’appuient sur un nombre croissant de services dans le Cloud pour assoir les nouveaux usages et modèles d’affaire dans le cadre de leur transformation numérique. Au-delà des contrôles en place et autres dispositions prises par défaut en matière de sécurité par ces services, d’aucun voit dans le chiffrement de leurs données et l’utilisation de leurs propres clés de chiffrement les clés de la confiance.
Dans ce contexte, cette session vous propose une vue d'ensemble illustrée des différentes solutions de chiffrement proposées dans Azure et Office 365. Elle vise à présenter ces solutions et à donner des indications claires sur la façon de choisir la ou les solutions appropriées en fonction de cas d’usage donnés ou/et d’exigences particulières. Les risques ainsi couverts seront explicités au cas par cas."
3. N° 3
Protéger vos données avec
le chiffrement dans
Office 365 et Azure
4. N° 4
Question Réponse
Où sont les données à protéger ? En interne, sur l’appareil, dans le Cloud ?
Où sont stockées les clés ? En interne, dans le Cloud, dans un HSM, etc. ?
Qui a accès aux clés et comment s’en assurer ? Le service Cloud, les administrateurs client, les développeurs, etc.
Qui peut accéder aux données en clair ? Le service Cloud, le client, les administrateurs
Où s'effectuent les opérations de chiffrement/déchiffrement ? Le service Cloud, le client, une passerelle
Y-a-t-il un impact fonctionnel sur le services ? Indexation, audit, etc.
De quels risques se protège-t-on ? Ecoute, interception des communications, vol de disque, administrateur/opérateurs
interne malveillants, etc.
Quels sont les risques résiduels ? Usurpation d’identité, dénis de service, intégrité des données,
sécurité de l’appareil pour l’administration du locataire, etc.
5. N° 5
Un rapide préambule sur Azure Key Vault/Key Vault Certificates
…
7. N° 7
Modèles de chiffrement
Chiffrement CLOUD Chiffrement CLIENT
Chiffrement côté
service Cloud avec les
clés gérées par le
service
Chiffrement côté
service Cloud utilisant
les clés du client
dans Azure Key Vault
Chiffrement côté
service Cloud utilisant
les clés du client gérées
en interne
Chiffrement des données effectué au
niveau du client avant stockage dans
le cloud
• Les services Cloud
peuvent voir les
données en clair
• Microsoft gère les
clés
• Il s’agit de
fonctionnalités
Cloud complètes
• Les services Cloud
peuvent voir les
données en clair
• Le client contrôle
les clés à travers
Azure Key Vault
• Il s’agit de
fonctionnalités
Cloud complètes
• Les services Cloud
peuvent voir les
données en clair
• Le client contrôle les
clés en interne
• Il s’agit de
fonctionnalités Cloud
complètes
• Les services Cloud ne peuvent PAS
voir les données en clair
• Les clés du client restent en interne
• Fonctionnalités Cloud REDUITES
9. N° 9
Données en transit – (Options de) chiffrement
* Optionnel, choix d’implémentation du client
Données en transit entre un utilisateur
et le service
Données en transit entre les centres de
données
Communications de bout en bout
entre les utilisateurs
Protéger le client contre l’interception de ses
communications et permettre de garantir
l’intégrité des opérations
Protéger contre l’interception en masse des
données
Protéger contre l’interception ou la perte des
données en transit entre utilisateurs
Portail Office 365 (et autres points de
terminaisons) :
• Chiffrement des transactions à l’aide de
TLS avec HTTP, POP3, etc.
• Utilisation d’algorithmes cryptographiques
forts sont utilisés / support FIPS 140-2
Les données répliquées/transférées entre les
centres de données Office 365 sont chiffrées
avec TLS ou IPsec, p.ex. TLS avec SMTP
RMS pour Office 365/Azure RMS/Azure
Information Protection*
O365 Message Encryption*
S/MIME*
11. N° 11
Azure RMS/Azure Information Protection
Authentification et
Collaboration
• Cf. session précédente Protéger votre
patrimoine informationnel dans un
monde hybride avec Azure
Information Protection
12. N° 12
Microsoft Cloud App Security(pour Office 365* et au-delà) “VOS" APPLICATIONS
ET APIS+
“VOS" APPAREILS
*Office 365 Advanced Security Management
13. N° 13
En guise de « synthèse » sur les risques couverts
Risques
Risques
Fonctionnalités
Accès aux données client
par un administrateur
interne malveillant
Vol d’information Fuite d’information
Protection des communications à l’aide de TLS avec HTTP,
POP3, SMTP, etc.
Chiffrement des données aux repos (Chiffrement avancé)
Chiffrement des disques (BitLocker)
S/MIME / Office 365 message encryption (OME)
Azure RMS/ Azure Information Protection
Solution tierce de type Cloud Encryption Gateway
Office 365 Advanced Security Management/Cloud App
Security
Authentification multifacteur pour Office 365
MAM / Windows Information Protection
Accès serveur audité, contrôlé et limité dans le temps
(LockBox/Customer Lockbox)
DLP intégré à Office 365
Risques
CHIFFREMENTAUTRES
15. N° 15
Données en transit – Options de chiffrement
* Choix de configuration (additionnelle) du client
Données en transit entre un utilisateur
et le service
Données en transit entre les centres de
données
Communications de bout en bout
entre les utilisateurs
Protéger le client contre l’interception de ses
communications et permettre de garantir
l’intégrité des opérations
Protéger contre l’interception en masse des
données
Protéger contre l’interception ou la perte des
données en transit entre utilisateurs
Portail Azure :
• Chiffrement des transactions à l’aide de
TLS avec HTTP
• Utilisation d’algorithmes cryptographiques
forts sont utilisés / support FIPS 140-2
Acceptation UNIQUEMENT de disques de
données chiffrés pour
l’importation/exportation
TLS (avec HTTP) pour l’API REST pour le
stockage*
Chiffrement du trafic entre le client Web et le
serveur à l’aide de TLS avec HTTP sur IIS*
Chiffrement du trafic entre le client et Azure
SQL Database à l’aide de TLS avec HTTP
Les données répliquées/transférées entre les
centres de données Azure sont chiffrées avec
TLS ou IPsec
Fonction de la mise en œuvre faite des
services Azure*
16. N° 16
Données au repos – Options de chiffrement
INTERFACESDEGESTIONDECLÉS
TDE (TRANSPARENT DATA ENCRYPTION) - <SQL Server ou Azure SQL Database>
CLE (CELL LEVEL ENCRYPTION) - <SQL Server ou Azure SQL Database>
SAUVEGARDES CHIFFRÉES SQL SERVER
SQL SERVER (VM) ET AZURE SQL DATABASE
AZURE DISK ENCRYPTION - <BitLocker [Windows], DM-Crypt [Linux]>
CHIFFREMENT DE VOLUME PARTENAIRE - <CloudLink SecureVM, SafeNet ProtectV, etc.>
MACHINES VIRTUELLES – WINDOWS ET LINUX
AZURE STORAGE SERVICE ENCRYPTION (VERSION PRÉLIMINAIRE)
STOCKAGE AZURE – BLOBS, TABLES ET QUEUES
AZURE HDINSIGHT
AZURE BACKUP SERVICE - <Tire parti du chiffrement d’Azure Disk Encryption>
AZURE BACKUP SERVICE
AZURE DATA LAKE – Toujours actif (choix du schéma de gestion de clé)
AZURE DATA LAKE
17. N° 17
Azure Disk Encryption
Azure Disk Encryption for Windows and Linux Azure Virtual Machines
GitHub
23. N° 23
En guise de « synthèse » sur les risques couverts
RisquesFonctionnalités
Accès aux données client
par un administrateur/
opérateur malveillant
(fournisseur Cloud)
Vol d’information Fuite d’information
Protection des communications à l’aide de TLS avec HTTP
Azure Disk Encryption (IaaS)
Chiffrement côté client du stockage Azure
Chiffrement du stockage Azure (Service)
SQL Server/Azure SQL Database (TDE, CLE, sauvegardes)
SQL Server/Azure SQL Database (chiffrement intégral)
Risques
24. N° 24
En guise de synthèse sur les diverses options de chiffrement
abordées
ChiffrementCLOUD
ChiffrementCLIENT
Azure
25. N° 25
Et si l’on parlait des risques résiduels pour conclure ce (rapide)
tour d’horizon ?
26. N° 26
Les autres domaines à couvrir
La protection des données nécessite une approche complète de bout-en-bout
100101100101
011010 011010
100101100101
011010 011010
100101100101
011010 011010
100101100101
011010 011010
CONTRÔLER L’ACCÈS
PROTÉGER LE POSTE D’ADMINISTRATION
CHIFFRER LES DONNÉES
Protéger les clés de chiffrement, sauvegarder les données
Revue des permissions, protection des identités et gestion des identités
privilégiées, authentification forte, contrôle d’accès conditionnel, etc.
Renforcement de la sécurité de l’appareil, protection anti-malware,
contrôle de l’état de santé de l’appareil, etc.
28. N° 28
Pour aller plus loin avec le Centre de confiance Microsoft
trustverbe |ˈtrəst
www.microsoft.com/fr-fr/trustcenter
29. N° 29
Pour aller au-delà
Data Encryption Technologies in Office 365
Office 365 Security and compliance
Protecting Data and Privacy in the Cloud
Azure Disk Encryption for Windows and Linux Azure Virtual Machines
Security, Privacy, and Compliance in Microsoft Azure
Le chiffrement dans Office 365
DLP avec Office 365
Thalès et Microsoft France présentent Cyris for Office 365 Outlook
Azure Security Center
Azure Disk Encryption
Introduction à Azure Key Vault
Azure Key Vault en pratique
30. N° 30
Pour aller au-delà dans un monde en évolution constante…
https://blogs.office.com/
https://blogs.microsoft.fr/office/
https://azure.microsoft.com/en-us/blog/
http://blogs.microsoft.fr/azure/
https://blogs.technet.microsoft.com/enterprisemobility/
https://blogs.technet.microsoft.com/kv
Titre : les questions à se poser
Objectifs : Récapituler la liste des questions à se poser avant de choisir une solution de chiffrement
Description :
Cette liste correspond aux questions que peuvent légitimement se poser les clients avant de mettre en œuvre une solution de chiffrement.
Tout client aura la démarche classique de chiffrer l’ensemble de ses données avec ses propres clés sans se poser les 2 dernières questions qui sont pourtant cruciales
Y-a-t ’il des pertes fonctionnelles par le fait de rendre inaccessibles en clair les données que l’on met à disposition du service
De quels risques souhaite-t-on se protéger ? En effet, par le chiffrement la plupart des clients pensent pouvoir utiliser un service et se protéger d’actions malveillantes ou d’écoute de la part même du fournisseur de Cloud (Microsoft)- en relation avec le Patriot Act, l’affaire Snowden, etc.
On verra que les réponses sont plus complexes que « je chiffre tout et je suis protégé » et que l’approche par les risques est la bonne !
Objectifs : Donner une vue d’ensemble de la solution Azure Key Vault.
Description :
Azure Key Vault offre un moyen facile et rentable pour sauvegarder les clés et les autres secrets utilisés par les applications et services cloud à l'aide de modules HSM. Avec Azure Key Vault, les clients peuvent simplifier la gestion des clés et garder le contrôle des clés servant à accéder et à chiffrer leurs données.
Objectifs: Détailler les 2 grands modèles de chiffrement avec leurs avantages et inconvénients respectifs
Expliquer que le chiffrement Cloud n’a pas d’impact fonctionnel et préserve des fonctionnalités mise en œuvre par les services concernés, p. ex. avec Office 365 comme la recherche, l’indexation, le DLP, l’antimalware, etc.
Expliquer qu’à l’inverse le chiffrement côté client donne plus de contrôle sur l’endroit où s’opère le chiffrement mais avec potentiellement un impact fort sur les fonctionnalités.
Chiffrement côté cloud/serveur/service
Lorsque le chiffrement est effectué au niveau du service, il n’y a aucune perte de fonctionnalités au niveau du service Cloud
On a 3 déclinaisons sur la gestion des clés avec une progression dans le contrôle des clés
les clés sont créées et gérées par le service lui-même, ce qui implique que toute cette gestion est transparente vis-à-vis de l’utilisateur
Le service s’appuie sur Azure Key Vault et est en mesure d’utiliser des clés maître générées par le client lui-même
Le service s’appuie sur des clés créées et gérées en interne par le client
Dans ces 3 cas, le service a accès aux données en clair : le chiffrement des données se fait avec des clés symétriques créées et gérées par le service qui sont ensuite protégées par la clé maître du client
Quand la clé maître se trouve dans le HSM, elle n’est pas exportable, c’est-à-dire que Microsoft n’y aura jamais accès, mais elle peut être utilisée pour effectuer des opérations cryptographiques, comme chiffrer des clés symétriques.
Chiffrement côté client
Lorsque le chiffrement est effectué au niveau du client, c’est-à-dire avant de mettre la donnée à disposition du service, ce dernier ne possédant pas les clés pour déchiffrer n’aura aucune accès aux données en clair.
Il est résulte que les fonctionnalités en seront réduites: sans possibilité d’accéder aux données en clair, impossibilité de faire des recherches ou d’indexer.
On a donc forcément un compromis à trouver en fonction des fonctionnalités recherchées et de la sensibilité des données traitées.
Lorsque l’on travaille en mode PaaS, sachant que l’on développe l’application, on a plus de latitude pour l’implémentation du chiffrement ; la réflexion doit se faire en fonction de la sensibilité des données et en fonction du ou des services que l’on utilise.
Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Office 365 pour les données en transit et les catégoriser
Description :
Office 365 chiffre les données en transit afin que les données restent en permanence protégées.
Protection avec TLS (HTTPS) : Le client accède aux services via une connexion Internet établie depuis l'emplacement où il travaille et qui aboutit dans les centres de données Microsoft. Ces connexions sont chiffrées via le standard TLS (Transport Layer Security). Ainsi, le lien entre le client et le serveur est sécurisé afin de protéger la confidentialité des données et l'intégrité entre le poste de travail et le centre de données.
Pages de Qualys TLS :
Portail Office 365 : https://www.ssllabs.com/ssltest/analyze.html?d=portal.office.com&hideResults=on
Exchange Online : https://www.ssllabs.com/ssltest/analyze.html?d=outlook.office365.com&hideResults=on&latest
SharePoint Online : https://www.ssllabs.com/ssltest/analyze.html?d=microsoft%2dmy.sharepoint.com&hideResults=on&latest
Skype Entreprise (SIP) : https://www.ssllabs.com/ssltest/analyze.html?d=sipdir.online.lync.com
Skype Entreprise (Web) : https://www.ssllabs.com/ssltest/analyze.html?d=webdir.online.lync.com&hideResults=on
Exchange Online Protection : https://ssl-tools.net/mailservers/microsoft-com.mail.protection.outlook.com
Dans SharePoint One et OneDrive Entreprise, il existe deux scénarios dans lesquels les données entrent et sortent des centres de données.
Communication du client avec le serveur La communication vers OneDrive Entreprise sur Internet utilise des connexions TLS. Toutes les connexions TLS sont établies à l’aide de clés 2048 bits.
Déplacement de données entre des centres de données La raison principale du déplacement de données entre des centres de données est de permettre la récupération d’urgence via la géo-réplication. Par exemple, les deltas de stockage d’objets blob et les journaux de transaction SQL Server transitent par ce canal. Alors que ces données sont déjà transmises par le biais d’un réseau privé, elles sont encore mieux protégées à l’aide du meilleur chiffrement de sa catégorie.
Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Office 365 pour les données au repos ET expliquer la proposition de valeur du chiffrement avancé (Advanced Encryption) et la différence avec BitLocker, ainsi que le chiffrement par fichier (per-file encryption)
Description du chiffrement avancé:
Evolution du chiffrement dans Office 365 de deux composants
Chiffrement par l'intermédiaire de code de service vs. Windows BitLocker
Contrôle client facultatif des clés maître utilisées pour le chiffrement par le code de service, alias BYOK (apportez votre propre clé) ou CYOK (contrôle de votre propre clé)
Le champ d'application de chiffrement avancé est le contenu client stocké au repos dans les boîtes aux lettres Exchange Online et dans les bases de données de contenu SharePoint Online
Le contenu client Exchange Online inclut les messages électroniques (y compris les pièces jointes), les éléments de calendrier, les notes, les tâches, les dossiers, etc.
Le contenu client SharePoint Online désigne les fichiers stockés dans SharePoint Online par un utilisateur final
Les données clients sont toujours stockées chiffrées
En intégrant le chiffrement directement dans la pile applicatif Office 365, nous vous donnons l'assurance que vos données sont protégées indépendamment de leur emplacement de stockage ou de la présence d’un administrateur sur le serveur.
Si je QUITTE Office 365, Microsoft n'a pas accès à mes données
Le chiffrement avec une clé maitre spécifique au locataire permet de révoquer la clé lors de la résiliation d’Office 365. Le contrôle des clés maitres répond à certaines exigences de conformité.
Meilleur isolation des données par rapport aux opérateurs HUMAINS
BitLocker est lié au modèle d'administration de Windows Server. Le chiffrement au niveau de l’application fournit une forte séparation entre les données des clients et les opérateurs du serveur.
Les clés racine sont protégés par Azure Key Vault
Les clés de service sont protégés en les chiffrant à l'aide d'une clé de chiffrement plus élevée dans la chaîne de clés
Azure Key Vault offre de la haute disponibilité et un SLA de 99,9 %
La rotation des clés est assurée par vos soins
Les applications Office 365 interagissent avec Azure Key Vault, tout comme le ferait n'importe quelle autre application
Azure Key Vault détermine la prise en charge de modules HSM – Voir documentation afférente
Les clés de chiffrement de données sont « emballées » par une clé de portée, elle-même « emballée » par une clé racine
Pour Exchange Online, la portée est la collection de boîtes aux lettres ; pour SharePoint c'est la collection de sites
Pour utiliser le BYOK, un emplacement de la clé Azure Key Vault doit être fourni à Office 365, l'autorisation d’« emballer »/« désemballer » doit être accordée et toutes les exigences en matière de licences doivent avoir été remplies. Vous devez utiliser les méthodes décrites dans la documentation d'Azure Key Vault pour générer et importer vos propres clés. Cf. https://azure.microsoft.com/fr-fr/services/key-vault
Un processus en 6 étapes :
Vous activez Azure Key Vault et sélectionner un SKU géo-redondant lors de la création des coffres de clés au sein des géographies souhaitées
Vous créez ou importez une paire de clés et accordez l'accès à votre abonnement Office 365
Vous mettez à jour la configuration de votre locataire Office 365 avec les informations sur les clés de chiffrement
Office 365 extrait la clé publique du locataire, crée des clés de politique et utilise la clé publique de votre coffre de clés Azure Key Vault pour chiffrer la clé de politique Office 365
Vous affectez la politique aux boîtes aux lettres ou aux collections de site
Office 365 utilise la clé de politique attribuée pour chiffrer la clé de boîtes aux lettres ou de collections de site
Description du chiffrement par fichier :
Les fichiers sont découpés en morceaux/fragments (chunks) en fonction de la taille
Se base sur Shredded Storage introduit avec SharePoint 2013
Offre de meilleur performance et optimise le stockage (versions de fichiers)
Chaque morceau de fichier est chiffré avec une clef AES-256 bits unique
Les clefs sont protégées et chiffrées dans la base de contenu SharePoint (SharePoint Content Database)
La clef maître est stockée dans le Key Store (protégée par SQL TDE)
Key Store dédiée
BYOK avec le chiffrement avancé pour Office 365
Les morceaux de fichiers sont enfin stockés sur Azure aléatoirement dans plusieurs conteneurs Azure Storage sous forme de blob
Utilisation de Microsoft Azure
Engagement de stocker les données Azure dans la même géographie qu’Office 365
L’accès aux comptes de stockages Azure est contrôlée à l’aide de crédentiels séparés.
http://blogs.office.com/2015/01/30/data-encryption-works-onedrive-business-sharepoint-online/
Le chiffrement lors du stockage comprend deux composants : le chiffrement au niveau du disque BitLocker et le chiffrement par fichier du contenu client.
Alors que BitLocker chiffre toutes les données sur un disque, le chiffrement par fichier va plus loin en ajoutant une clé de chiffrement unique pour chaque fichier. En outre, chaque mise à jour de chaque fichier est chiffrée à l’aide de sa propre clé de chiffrement. Avant d’être stockées, les clés permettant d’accéder au contenu chiffré sont elles-mêmes chiffrées et stockées dans un emplacement physiquement distinct du contenu. Chaque étape de ce chiffrement utilise la méthode AES (Advanced Encryption Standard) avec des clés 256 bits et est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. Le contenu chiffré est réparti sur un certain nombre de conteneurs dans l’ensemble du centre de données, et chaque conteneur possède des informations d’identification uniques. Ces informations sont stockées dans un emplacement physique distinct du contenu ou des clés de contenu.
Objectifs : Illustrer qu’Azure RMS (pour Office 365)/Azure Information Protection est la solution pour protéger les données en situation de mobilité et collaboratif
Description :
Permet de protéger des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, à l’intérieur ou à l’extérieur du périmètre du système d’information.
Azure RMS utilise le format XrML avec une clé RSA 2048 bits (Windows) ou JSON (mobile), pour représenter les entités et exprimer des politiques d’usage
Les certificats utilisent des clés RSA de module 2048 bits
Les licences ont une clé de contenu AES 128 bits
Les signatures utilisent un condensat SHA-256
Azure RMS est une technologie contribuant à la protection des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, sur votre réseau ou à l’extérieur du périmètre de votre système
d’information.
Les utilisateurs peuvent définir exactement comment le destinataire pourra utiliser les données
Les organisations peuvent créer des modèles de politiques de sécurité personnalisés et les gérer de manière centralisée (ex : template RMS « Affichage confidentiel uniquement »)
Permet aux développeurs de construire des solutions de protection des données flexibles et personnalisables
http://thermsguy.blob.core.windows.net/slides/AzureRMS-SecurityEvaluation-v1.docx
Objectifs : Montrer quels sont les risques couverts selon les technologies employées avec Office 365
Description
Faire la différence entre vol d’information et fuite d’information.
Vol d’information : vol volontaire d’information par une personne déterminée qui cherche à pirater.
Fuite d’information : suite à événement accidentelle, par exemple perte d’un ordinateur portable qui n’a pas de protection, pas de chiffrement.
Expliquer que chaque fonctionnalité de sécurité permet de se protéger et de couvrir un risque. Montrer également qu’il ne faut pas uniquement considérer les options de chiffrement.
Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Azure pour les données en transit et les catégoriser
Description :
Azure chiffre les données en transit afin que les données restent en permanence protégées.
Protection à l’aide de TLS avec HTTP : Le client accède aux services Azure via une connexion Internet établie depuis l'emplacement où il travaille et qui aboutit dans les centres de données Microsoft. Ces connexions sont chiffrées via le standard TLS (Transport Layer Security). Ainsi, le lien entre le client et le serveur est sécurisé afin de protéger la confidentialité des données et l'intégrité entre le poste de travail et le centre de données.
Page de Qualys TLS :
Portail Azure : https://www.ssllabs.com/ssltest/analyze.html?d=portal.azure.com&hideResults=on
Version de TLS utilisées, suites cryptographiques, Perfect Forward Secrecy (PFS)
Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Azure pour les données au repos
+ Azure Machine Learning WorkSpaces, Azure Stream Analytics, Azure Media Services
Objectifs: Permet de décrire une vue d’ensemble de Azure Disk Encryption
Fonctionnalités
Azure Disk Encryption permet de chiffrer les disques OS et données des VM Windows et Linux
S’appuie sur BitLocker (VM Windows) et DM-Crypt (VM Linux)
La solution est intégrée avec Azure Key Vault pour donner au client le contrôle des clés de chiffrement des disques (clés BitLocker) et des secrets (Passphrase pour Linux)
Toutes les données sont chiffrées dans Azure Storage du client
La gestion des clés est intégrée dans le Key Vault créé et géré par le client avec utilisation de la technologie HSM (boitier physique hébergé dans le centre de données)
Possibilité de créer ou d’importer une KEK (Key Encryption Key : RSA 2048) pour protéger les clés de chiffrement BitLocker
Le client accorde des accès en lecture-écriture au container Key Vault à une identité Azure AD pour permettre le chiffrement des volumes
Les administrateurs Azure n’ont aucun accès au coffre Azure Key Vault du client utilisé pour la solution de chiffrement.
Le chiffrement peut s’appliquer sur des VM en cours d’exécution, des VM créées depuis la Galerie ou des VM déjà chiffrées importées par le client (importation du VHD déjà chiffré et clés de chiffrement)
Ressources
Vidéo Concrètement Episode 7 - Azure Disk Encryption : https://channel9.msdn.com/Blogs/Concretement/Episode-7-Azure-Disk-Encryption
Cours MVA Module 3 : https://mva.microsoft.com/fr-fr/training-courses/azure-key-vault-en-pratique-16572?l=svn7dFdgC_1205192797
Billet http://blogs.msdn.com/b/azuresecurity/archive/2015/11/17/azure-disk-encryption-for-linux-and-windows-virtual-machines-public-preview.aspx
Livre blanc Azure Disk Encryption for Windows and Linux Azure Virtual Machines : https://gallery.technet.microsoft.com/Azure-Disk-Encryption-for-a0018eb0
Modèles ARM : https://azure.microsoft.com/fr-fr/documentation/templates/?term=encryption
Objectifs : Description des différentes fonctionnalités de chiffrement avec une catégorisation par type de chiffrement et par gestion des clés
Description
Le chiffrement transparent des données de la base de données effectue le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions sans nécessiter de modifications de l'application.
L'ensemble de la base de données est chiffré à l'aide d'une clé symétrique (AES-256), appelée clé de chiffrement de base de données.
Dans la base de données SQL, la clé de chiffrement de base de données est protégée par un certificat géré par SQL Server (VM) ou le service Azure SQL Database. (Le certificat est unique pour chaque serveur de base de données SQL.) La clé de chiffrement peut être stockée dans Azure Key Vault avec SQL server (VM)
Avec Azure SQL Database, toute la gestion des clés pour la copie des bases, la géo-réplication ou la restauration est prise en charge par le service
Si une base de données a une relation de géo-réplication, elle est protégée par une clé différente sur chaque serveur.
Si deux bases de données sont connectées au même serveur, elles partagent le même certificat. Microsoft fait alterner automatiquement ces certificats au moins tous les 90 jours.
Pour l’activation de cette fonction avec Azure SQL Database, il suffit de 2 clics au niveau de la base de données à partir du portail Azure : cliquer sur ON, puis Sauvegarder, c’est tout!
Plus
Le chiffrement du fichier de la base de données est effectué au niveau de la page. Les pages dans une base de données chiffrée sont chiffrées avant d'être écrites sur le disque et déchiffrées lors de la lecture en mémoire.
TDE n’augmente pas la taille de la base de données chiffrée
TDE utilise AES-256 (avec Intel Data Protection Technology with Advanced Encryption Standard New Instructions (AES-NI) pour de meilleures performances sur Azure SQL database).
Toute la gestion des clés et des certificats est prise en charge par Azure SQL
Ressources
Announcing Transparent Data Encryption for Azure SQL Database https://blogs.msdn.microsoft.com/sqlsecurity/2015/04/29/announcing-transparent-data-encryption-for-azure-sql-database/
Chiffrement transparent des données avec Azure SQL Database https://msdn.microsoft.com/library/dn948096.aspx
Chiffrement transparent des données (TDE) https://msdn.microsoft.com/fr-fr/library/bb934049.aspx
SQL Encryption with Hardware Security Modules http://www.safenet-inc.com/data-protection/database-encryption/sql-encryption/
Objectifs : Description du chiffrement Azure SQL Always Encrypted
Description
Always Encrypted est une fonctionnalité conçue pour protéger les données sensibles, telles que les numéros de carte de crédit ou un numéro d'identification national (par exemple les numéros de sécurité sociale), stockées dans des bases de données SQL Server.
Always Encrypted permet aux clients de chiffrer des données sensibles à l'intérieur d’applications clientes sans jamais révéler les clés de chiffrement à SQL.
En conséquence, Always Encrypted fournit une séparation entre ceux qui possèdent les données (et peuvent les voir) et ceux qui gèrent les données (mais ne devrait pas y avoir accès).
Les clés de chiffrement sont gérées à l'extérieur de la base de données pour une sécurité maximale et la séparation des fonctions. Seuls les utilisateurs autorisés ayant accès aux clés de déchiffrement peuvent voir les données non chiffrées tout en utilisant vos applications.
Always Encrypted rend le chiffrement transparent pour les applications.
Un pilote installé sur l'ordinateur client chiffre et déchiffre automatiquement les données sensibles dans l'application cliente.
Le pilote chiffre les données dans les colonnes sensibles avant de les transmettre au moteur de base de données, et automatiquement réécrit les requêtes de telle sorte que la sémantique de l'application soit conservée.
De même, le pilote déchiffre de manière transparente les données contenues dans les résultats de la requête et qui sont stockées dans des colonnes chiffrées,.
Impacts fonctionnels
Pas de modification de l’application et les données sont lisibles depuis l’application (les opérations de chiffrement/déchiffrement sont effectuées de manière transparente par le client)
On dispose de 2 options de chiffrement
Chiffrement aléatoire
Permet la récupération transparente des données chiffrées, mais AUCUNE OPERATION
Plus sûr en raison de la nature aléatoire du chiffrement
Chiffrement déterministe
Permet la récupération transparente des données chiffrées ET comparaison sur égalité
Par exemple les clauses et jointure WHERE, distinct, group by
Ressources
Always Encrypted in SQL Server & Azure SQL Database https://blogs.technet.microsoft.com/dataplatforminsider/2015/11/18/always-encrypted-in-sql-server-azure-sql-database/
Always Encrypted (moteur de base de données) : https://msdn.microsoft.com/fr-fr/library/mt163865.aspx
Chiffrement intégral : Protéger les données sensibles dans Base de données SQL et stocker vos clés de chiffrement dans Azure Key Vault : https://azure.microsoft.com/fr-fr/documentation/articles/sql-database-always-encrypted-azure-key-vault/
Objectifs : Description des options de chiffrement du stockage Azure côté client
Fonctionnalités côté client
Chiffrement/ Déchiffrement
La librairie Azure Storage côté client génère une clé de chiffrement de contenu CEK (content encryption key), clé symétrique AES 256.
Les données sont chiffrées avec cette CEK et cette clé est elle-même chiffrée avec une KEK (key encryption key) qui peut être gérée localement ou dans Azure Key Vault.
Les données sont alors transférées dans le service Azure Storage.
La clé CEK (chiffrée) est stockée sous forme de métadonnées (Blob) ou intégré avec les données chiffrées (queue messages et entités de tables).
La librairie n’a jamais accès à la KEK; elle invoque simplement l’algorithme de wrapping (emballage) de la CEK fourni par Key Vault.
L’utilisateur peut choisir sa propre KEK
Le déchiffrement se fait en sens inverse: la CEK est récupérée et déchiffrée par la KEK au niveau client pour ensuite déchiffrer les données.
Table et file d’attente de messages (message Queue)
Table : Le client génère un vecteur d’initialisation (random Initialization Vector ou IV) de 16 octets et une CEK de 32 octets pour chaque entité. Chaque propriété est ensuite chiffrée en dérivant un nouveau IV pour chacune des propriétés.
Ressources
Chiffrement côté client et Azure Key Vault pour Microsoft Azure Storage : https://azure.microsoft.com/fr-fr/documentation/articles/storage-client-side-encryption/
Chiffrement côté client avec Java pour Microsoft Azure Storage : https://azure.microsoft.com/fr-fr/documentation/articles/storage-client-side-encryption-java/
Fonctionnalités côté service
Fonctionnalités
Chiffrement au niveau du stockage Azure pour le stockage Blob (block, append et page); voir ci-dessous pour plus de précision sur les types de Blob
Disponible pour tout nouveau compte de stockage crée avec Azure Resource Manager
Les données sont chiffrées en AES 256 avec des clés gérées par Microsoft
Important pour des aspects Conformité (il est possible de répondre aux attentes d’appel d’offre et « de cocher la case, chiffrement au repos »)
Chaque opération d’écriture utilise une nouvelle clé dérivée d’une clé de chiffrement elle-même chiffrée avec une clé maître
Plus d’information
https://blogs.msdn.microsoft.com/windowsazurestorage/2016/03/31/cross-post-announcing-the-preview-of-azure-storage-service-encryption-for-data-at-rest/
Azure Storage Service Encryption pour les données au repos (version préliminaire) : https://azure.microsoft.com/fr-fr/documentation/articles/storage-service-encryption/
Blob Storage
Azure Blob storage est un service permettant de stocker de grandes quantités de données non structurées, telles que du texte ou des données binaires, qui peut être accessible de partout dans le monde via HTTP ou HTTPS. Il est possible d’utiliser le stockage de Blob pour rendre des données accessibles publiquement, ou au contraire pour les stocker des données d'application de manière privée.
Blob: Un fichier de tout type et toute taille. Azure Storage offre trois types de blobs: les blobs de type block, page ou ajout (append)
Block blobs : idéal pour stocker des fichiers de type texte ou binaire, tels que des documents ou des fichiers média
Append blobs Identiques à des blobs de type block de par le fait qu’ils soient composes de blocs, mais optimisés pour des opérations d’ajout; particulièrement intéressant pour des scenarios de journalisation
Page blobs Peuvent avoir une taille jusqu’à 1 To, et plus efficaces pour des opérations fréquentes de lecture/écriture. Les machines virtuelles Azure utilisent des blobs de type page pour les disques système et données
Objectifs : Montrer quels sont les risques couverts selon les technologies employées
Description
Le tableau détaille 3 risques principaux couverts ou non en fonction des technologies
La possibilité pour un administrateur/opérateur malveillant du côté du fournisseur de Cloud d’accéder aux données
Le risque de vol d’information que l’on associe à une action proprement malveillante
La fuite d’information que l’on associe plutôt à une action involontaire aboutissant à la diffusion d’information des frontières autorisées
On observe que
L’ensemble des solutions de chiffrement protègent contre le vol d’information; en effet, dès lors que les données sont chiffrées au repos sur leurs supports, le vol des supports ne permet pas d’accéder aux données qu’ils hébergent.
Le chiffrement des communications par HTTPS avec TLS protège les données en transit contre l’interception qui aboutirait à un vol ou fuite d’informations
Le risque de fuite d’information n’est pas couvert pour les 4 dernières solutions car un utilisateur autorisé pourra accéder aux données en clair et involontairement les recopier ou les envoyer
En toute logique, seules les 2 solutions chiffrant les données côté client sont celles qui protègent contre un administrateur malveillant côté fournisseur de Cloud au détriment d’une éventuelle perte de fonctionnalité; les données étant chiffrées avant d’être copiées dans le Cloud, elles ne sont PAS disponibles en clair sur le support ou en mémoire de la part du service Cloud.
Objectifs : Proposer une synthèse de ce qui a été abordé en ligne avec la catégorisation proposée : chiffrement cloud vs. chiffrement client par exemple
Description :
Dans les parties supérieure et inférieure, on trouve respectivement les solutions de chiffrement disponibles dans notre offre SaaS Office 365 et dans Azure.
Dans la partie gauche, les fonctions de chiffrement disponibles au niveau du service Cloud lui-même et dans la partie droite, les solutions à mettre en œuvre du côté client.
Certaines solutions sont implémentées par le service lui-même et transparentes, par exemple le chiffrement par fichier disponible sur SharePoint Online et OneDrive Entreprise
D’autres sont des solutions complémentaires qui peuvent être activées selon les utilisateurs ou les données, par exemple RMS pour Office 365 côté Cloud.
Concernant Azure, la protection peut être implémentée côté client par l’application pour chiffrer les données avant leur stockage dans Azure en limitant la complexité d’implémentation par le biais de bibliothèques
Objectifs : Montrer un ensemble de risques qui ne sont pas couverts par le chiffrement
Disponibilité
Le chiffrement protège les données mais sa mise en œuvre n’est pas sans contrepartie; il faut en effet gérer les clés de chiffrement et toute erreur humaine dans la gestion des clés peut provoquer la perte des données que l’on cherchait justement à protéger.
De la même manière, un déni de service sur le dispositif charger de déchiffrer les données impliquera une indisponibilité de l’accès à ces dernières
Intégrité des données
Si les données sont corrompues, le chiffrement ne sera d’aucun secours; seules de sauvegardes permettront de récupérer les données dans un état cohérent (éventuellement avec une perte sur les données les plus récentes)
Confidentialité
La confidentialité des données est garantie mais les personnes autorisées auront le droit d’accéder aux données en clair. Le chiffrement ne garantira pas l’accès aux données si l’identité d’une personne autorisée a été usurpée. Les mesures pour limiter les risques d’usurpation d’identité des personnes à pouvoir doivent être mises en œuvre parallèlement comme par exemple l’authentification multifacteur ou le renforcement des postes des administrateurs (comptes à pouvoir)
Traçabilité
L’audit des accès aux données chiffrées (et à l’utilisation des clés de chiffrement) reste nécessaire pour s’assurer que seules les personnes autorisées y accèdent
Objectifs : Montrer quelles autres protections sont nécessaires au-delà du chiffrement
Description
Par rapport aux risques résiduels décrits précédemment, on illustre que les protections doivent être mises
Au niveau des données elles-mêmes par le chiffrement mais également par des sauvegardes des données et des clés de chiffrement
Au niveau de l’accès aux données : un contrôle d’accès rigoureux et audité est nécessaire pour garantir que seules les personnes autorisées y auront accès et être capable de détecter des comportements suspects pouvant indiquer une usurpation d’identité
Enfin pour les appareils utilisés par les personnes à privilèges (par exemple les administrateurs chargés du contrôle d’accès ou de la gestion des clés), dont il est important de renforcer la sécurité.
Azure Trust Center: https://azure.microsoft.com/en-us/support/trust-center/
We take seriously our commitment to safeguard our customers’ data, to protect their right to make decisions about that data, and to be transparent about what happens to that data. We are guided by a set of “Trusted Cloud Principles,” that articulate our vision of what enterprise organizations are entitled to expect from their cloud provider:
Security: The confidentiality, integrity, and availability of your data is secured. Microsoft cloud services are designed, developed, and operated to help ensure that your data is secure.
Privacy & Control: No one is able to use your data in a way that you do not approve. Microsoft prioritizes your data privacy; our commercial cloud customers own their data and we don’t use it to deliver targeted advertising
Compliance: You can meet your regulatory obligations. This means we support you with certified compliance credentials, backed by third-party audits.
Transparency: You understand how your data is being handled and used. This means we provide an appropriate level of transparency into security, privacy and compliance practices and actions to help protect your information.