Microsoft Technet France, profile picture
Téléchargé parMicrosoft Technet France
PPTX, PDF2,693 vues

Protéger vos données avec le chiffrement dans Azure et Office 365

Le document traite des différentes méthodes de chiffrement des données dans Office 365 et Azure, abordant les défis de sécurité liés à l'accès et à la protection des données sensibles. Il explore les options de chiffrement pour les données au repos et en transit, ainsi que les risques potentiels tels que le vol d'informations et les accès non autorisés. Enfin, une approche complète de la protection des données est recommandée, englobant le contrôle d'accès, la gestion des identités et la sécurité des appareils.

Intégrer la présentation

Téléchargé 109 fois
N° 1
N° 2 Philippe Beraud @philberd Jean-Yves Grasset @jyvesgrasset
N° 3 Protéger vos données avec le chiffrement dans Office 365 et Azure
N° 4 Question Réponse Où sont les données à protéger ? En interne, sur l’appareil, dans le Cloud ? Où sont stockées les clés ? En interne, dans le Cloud, dans un HSM, etc. ? Qui a accès aux clés et comment s’en assurer ? Le service Cloud, les administrateurs client, les développeurs, etc. Qui peut accéder aux données en clair ? Le service Cloud, le client, les administrateurs Où s'effectuent les opérations de chiffrement/déchiffrement ? Le service Cloud, le client, une passerelle Y-a-t-il un impact fonctionnel sur le services ? Indexation, audit, etc. De quels risques se protège-t-on ? Ecoute, interception des communications, vol de disque, administrateur/opérateurs interne malveillants, etc. Quels sont les risques résiduels ? Usurpation d’identité, dénis de service, intégrité des données, sécurité de l’appareil pour l’administration du locataire, etc.
N° 5 Un rapide préambule sur Azure Key Vault/Key Vault Certificates …
N° 6
N° 7 Modèles de chiffrement Chiffrement CLOUD Chiffrement CLIENT Chiffrement côté service Cloud avec les clés gérées par le service Chiffrement côté service Cloud utilisant les clés du client dans Azure Key Vault Chiffrement côté service Cloud utilisant les clés du client gérées en interne Chiffrement des données effectué au niveau du client avant stockage dans le cloud • Les services Cloud peuvent voir les données en clair • Microsoft gère les clés • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud peuvent voir les données en clair • Le client contrôle les clés à travers Azure Key Vault • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud peuvent voir les données en clair • Le client contrôle les clés en interne • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud ne peuvent PAS voir les données en clair • Les clés du client restent en interne • Fonctionnalités Cloud REDUITES
N° 8
N° 9 Données en transit – (Options de) chiffrement * Optionnel, choix d’implémentation du client Données en transit entre un utilisateur et le service Données en transit entre les centres de données Communications de bout en bout entre les utilisateurs Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations Protéger contre l’interception en masse des données Protéger contre l’interception ou la perte des données en transit entre utilisateurs Portail Office 365 (et autres points de terminaisons) : • Chiffrement des transactions à l’aide de TLS avec HTTP, POP3, etc. • Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2 Les données répliquées/transférées entre les centres de données Office 365 sont chiffrées avec TLS ou IPsec, p.ex. TLS avec SMTP RMS pour Office 365/Azure RMS/Azure Information Protection* O365 Message Encryption* S/MIME*
N° 10 Données au repos – Options de chiffrement
N° 11 Azure RMS/Azure Information Protection Authentification et Collaboration • Cf. session précédente Protéger votre patrimoine informationnel dans un monde hybride avec Azure Information Protection
N° 12 Microsoft Cloud App Security(pour Office 365* et au-delà) “VOS" APPLICATIONS ET APIS+ “VOS" APPAREILS *Office 365 Advanced Security Management
N° 13 En guise de « synthèse » sur les risques couverts Risques Risques Fonctionnalités Accès aux données client par un administrateur interne malveillant Vol d’information Fuite d’information Protection des communications à l’aide de TLS avec HTTP, POP3, SMTP, etc.  Chiffrement des données aux repos (Chiffrement avancé)  Chiffrement des disques (BitLocker)  S/MIME / Office 365 message encryption (OME)   Azure RMS/ Azure Information Protection   Solution tierce de type Cloud Encryption Gateway  Office 365 Advanced Security Management/Cloud App Security  Authentification multifacteur pour Office 365  MAM / Windows Information Protection   Accès serveur audité, contrôlé et limité dans le temps (LockBox/Customer Lockbox)  DLP intégré à Office 365  Risques CHIFFREMENTAUTRES
N° 14
N° 15 Données en transit – Options de chiffrement * Choix de configuration (additionnelle) du client Données en transit entre un utilisateur et le service Données en transit entre les centres de données Communications de bout en bout entre les utilisateurs Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations Protéger contre l’interception en masse des données Protéger contre l’interception ou la perte des données en transit entre utilisateurs Portail Azure : • Chiffrement des transactions à l’aide de TLS avec HTTP • Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2 Acceptation UNIQUEMENT de disques de données chiffrés pour l’importation/exportation TLS (avec HTTP) pour l’API REST pour le stockage* Chiffrement du trafic entre le client Web et le serveur à l’aide de TLS avec HTTP sur IIS* Chiffrement du trafic entre le client et Azure SQL Database à l’aide de TLS avec HTTP Les données répliquées/transférées entre les centres de données Azure sont chiffrées avec TLS ou IPsec Fonction de la mise en œuvre faite des services Azure*
N° 16 Données au repos – Options de chiffrement INTERFACESDEGESTIONDECLÉS TDE (TRANSPARENT DATA ENCRYPTION) - <SQL Server ou Azure SQL Database> CLE (CELL LEVEL ENCRYPTION) - <SQL Server ou Azure SQL Database> SAUVEGARDES CHIFFRÉES SQL SERVER SQL SERVER (VM) ET AZURE SQL DATABASE AZURE DISK ENCRYPTION - <BitLocker [Windows], DM-Crypt [Linux]> CHIFFREMENT DE VOLUME PARTENAIRE - <CloudLink SecureVM, SafeNet ProtectV, etc.> MACHINES VIRTUELLES – WINDOWS ET LINUX AZURE STORAGE SERVICE ENCRYPTION (VERSION PRÉLIMINAIRE) STOCKAGE AZURE – BLOBS, TABLES ET QUEUES AZURE HDINSIGHT AZURE BACKUP SERVICE - <Tire parti du chiffrement d’Azure Disk Encryption> AZURE BACKUP SERVICE AZURE DATA LAKE – Toujours actif (choix du schéma de gestion de clé) AZURE DATA LAKE
N° 17 Azure Disk Encryption Azure Disk Encryption for Windows and Linux Azure Virtual Machines GitHub
N° 18
N° 19 Key Vault 4 5 6 7 8 9 10 11 1 2 3
N° 20 Chiffrement SQL Server (VM) ou Azure SQL Database
N° 21 Chiffrement SQL Server (VM) ou Azure SQL Database(suite)
N° 22 Chiffrement du stockage Azure
N° 23 En guise de « synthèse » sur les risques couverts RisquesFonctionnalités Accès aux données client par un administrateur/ opérateur malveillant (fournisseur Cloud) Vol d’information Fuite d’information Protection des communications à l’aide de TLS avec HTTP   Azure Disk Encryption (IaaS)  Chiffrement côté client du stockage Azure   Chiffrement du stockage Azure (Service)  SQL Server/Azure SQL Database (TDE, CLE, sauvegardes)  SQL Server/Azure SQL Database (chiffrement intégral)   Risques
N° 24 En guise de synthèse sur les diverses options de chiffrement abordées ChiffrementCLOUD ChiffrementCLIENT Azure
N° 25 Et si l’on parlait des risques résiduels pour conclure ce (rapide) tour d’horizon ?
N° 26 Les autres domaines à couvrir La protection des données nécessite une approche complète de bout-en-bout 100101100101 011010 011010 100101100101 011010 011010 100101100101 011010 011010 100101100101 011010 011010 CONTRÔLER L’ACCÈS PROTÉGER LE POSTE D’ADMINISTRATION CHIFFRER LES DONNÉES Protéger les clés de chiffrement, sauvegarder les données Revue des permissions, protection des identités et gestion des identités privilégiées, authentification forte, contrôle d’accès conditionnel, etc. Renforcement de la sécurité de l’appareil, protection anti-malware, contrôle de l’état de santé de l’appareil, etc.
N° 27 En guise de conclusion
N° 28 Pour aller plus loin avec le Centre de confiance Microsoft trustverbe |ˈtrəst www.microsoft.com/fr-fr/trustcenter
N° 29 Pour aller au-delà Data Encryption Technologies in Office 365 Office 365 Security and compliance Protecting Data and Privacy in the Cloud Azure Disk Encryption for Windows and Linux Azure Virtual Machines Security, Privacy, and Compliance in Microsoft Azure Le chiffrement dans Office 365 DLP avec Office 365 Thalès et Microsoft France présentent Cyris for Office 365 Outlook Azure Security Center Azure Disk Encryption Introduction à Azure Key Vault Azure Key Vault en pratique
N° 30 Pour aller au-delà dans un monde en évolution constante… https://blogs.office.com/ https://blogs.microsoft.fr/office/ https://azure.microsoft.com/en-us/blog/ http://blogs.microsoft.fr/azure/ https://blogs.technet.microsoft.com/enterprisemobility/ https://blogs.technet.microsoft.com/kv
N° 31N° 31
N° 32 @microsoftfrance @Technet_France @msdev_fr @philberd | @jyvesgrasset N° 32
N° 33N° 33

Contenu connexe

PPTX
All our aggregates are wrong (ExploreDDD 2018)
parMauro Servienti
 
PPTX
關聯式vs非關聯式資料庫
parJiaWenWang16
 
PDF
1 introduction informatique
parCEFRI-UAC
 
PDF
HCI Basics
parZdeněk Lanc
 
PPTX
Design patterns french
parmeriem sari
 
PDF
Advanced Pdf Tricks
parAnge Albertini
 
PPTX
シェアフル 開発組織.20220210
parシェアフル
 
PPTX
「Googleを支える技術」の解説 2010.08.23
parMinoru Chikamune
 
All our aggregates are wrong (ExploreDDD 2018)
parMauro Servienti
 
關聯式vs非關聯式資料庫
parJiaWenWang16
 
1 introduction informatique
parCEFRI-UAC
 
HCI Basics
parZdeněk Lanc
 
Design patterns french
parmeriem sari
 
Advanced Pdf Tricks
parAnge Albertini
 
シェアフル 開発組織.20220210
parシェアフル
 
「Googleを支える技術」の解説 2010.08.23
parMinoru Chikamune
 

Tendances

PDF
Data and AI reference architecture
parWilly Marroquin (WillyDevNET)
 
PDF
Creating data apps using Streamlit in Python
parNithish Raghunandanan
 
PDF
HBR Study Of Executive Coaching
parexercizeguy
 
PPTX
Expression de besoin pour le si
parfatima zahra FANDI
 
PDF
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
parTetsuo Yamabe
 
PPTX
Data weekender4.2 azure purview erwin de kreuk
parErwin de Kreuk
 
PDF
Incident Management Powerpoint Presentation Slides
parSlideTeam
 
PPTX
Cours 1 -_bases_d_informatique
parTarik Taleb Bendiab
 
PDF
Présentation des bases de données orientées graphes
parKoffi Sani
 
PDF
BPMN 2.0 overview
parsolomd
 
PPTX
Incident and Problem management simplified
parValentyn B
 
PPTX
DBaaS in the Real World: Risks, Rewards & Tradeoffs
parScyllaDB
 
PDF
[DI08] その情報うまく取り出せていますか? ~ 意外と簡単、Azure Search で短時間で検索精度と利便性を向上させるための方法
parde:code 2017
 
PDF
【初心者向け】パソコンの基礎知識〜パソコンって何〜
parMOCKS | Yuta Morishige
 
PDF
Tp Sql Server Integration Services 2008
parAbdelouahed Abdou
 
PDF
アーキテクチャとアジャイルプロジェクトをまともに進めるための両輪について-DevLOVE関西 #DevKan
parYusuke Suzuki
 
PDF
公共データをオープンデータ公開することによる効果
parKouji Kozaki
 
PDF
Introduction to Data Vault Modeling
parKent Graziano
 
PPTX
Cyber Defense Matrix: Reloaded
parSounil Yu
 
PPT
programmation orienté objet c++
parcoursuniv
 
Data and AI reference architecture
parWilly Marroquin (WillyDevNET)
 
Creating data apps using Streamlit in Python
parNithish Raghunandanan
 
HBR Study Of Executive Coaching
parexercizeguy
 
Expression de besoin pour le si
parfatima zahra FANDI
 
スタディサプリを支えるデータ分析基盤 ~設計の勘所と利活用事例~
parTetsuo Yamabe
 
Data weekender4.2 azure purview erwin de kreuk
parErwin de Kreuk
 
Incident Management Powerpoint Presentation Slides
parSlideTeam
 
Cours 1 -_bases_d_informatique
parTarik Taleb Bendiab
 
Présentation des bases de données orientées graphes
parKoffi Sani
 
BPMN 2.0 overview
parsolomd
 
Incident and Problem management simplified
parValentyn B
 
DBaaS in the Real World: Risks, Rewards & Tradeoffs
parScyllaDB
 
[DI08] その情報うまく取り出せていますか? ~ 意外と簡単、Azure Search で短時間で検索精度と利便性を向上させるための方法
parde:code 2017
 
【初心者向け】パソコンの基礎知識〜パソコンって何〜
parMOCKS | Yuta Morishige
 
Tp Sql Server Integration Services 2008
parAbdelouahed Abdou
 
アーキテクチャとアジャイルプロジェクトをまともに進めるための両輪について-DevLOVE関西 #DevKan
parYusuke Suzuki
 
公共データをオープンデータ公開することによる効果
parKouji Kozaki
 
Introduction to Data Vault Modeling
parKent Graziano
 
Cyber Defense Matrix: Reloaded
parSounil Yu
 
programmation orienté objet c++
parcoursuniv
 

En vedette

PDF
30 questions à poser à votre futur prestataire TMA [EXTRAIT]
parHélène Etienne
 
PPTX
Collab365 - Créer des applicatifs métier sous Sharepoint, oui ! Mais comment ...
parThierry Buisson
 
PDF
From zero to SYSTEM on full disk encrypted windows system
parNabeel Ahmed
 
PPTX
Présentation WikiLeaks
parCamille Fournier
 
PPTX
Wikileaks
parMariiaLr
 
PPT
Wikileaks
parAlex bj?lig
 
PPTX
Surveillance Society
parKaren Moxley
 
PPTX
Prism.ppt
parHossein Mirzaie
 
PDF
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
parMicrosoft Décideurs IT
 
30 questions à poser à votre futur prestataire TMA [EXTRAIT]
parHélène Etienne
 
Collab365 - Créer des applicatifs métier sous Sharepoint, oui ! Mais comment ...
parThierry Buisson
 
From zero to SYSTEM on full disk encrypted windows system
parNabeel Ahmed
 
Présentation WikiLeaks
parCamille Fournier
 
Wikileaks
parMariiaLr
 
Wikileaks
parAlex bj?lig
 
Surveillance Society
parKaren Moxley
 
Prism.ppt
parHossein Mirzaie
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
parMicrosoft Décideurs IT
 

Similaire à Protéger vos données avec le chiffrement dans Azure et Office 365

PPTX
Sécurité des données
parMicrosoft Technet France
 
PPTX
Office 365 dans votre Système d'Informations
parMicrosoft Technet France
 
PDF
Geneva MS IT PRO - La sécurité au Service de votre Transformation Digitale
parJean NETRY-VALERE
 
PPTX
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
parMicrosoft Technet France
 
PPTX
Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
parKyos
 
PPTX
Encryption des données
parJulieGueho
 
PDF
Assurer la protection des données dans Azure et O365
parEstelle Auberix
 
PPTX
Scénarios de mobilité couverts par Enterprise Mobility + Security
parMicrosoft Technet France
 
PPTX
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
parMaxime Rastello
 
PDF
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
parPatrick Guimonet
 
PPTX
MS Tech Summit 2018 - Classifier, étiqueter et protéger les données sensibles...
parMaxime Rastello
 
PDF
Sécuriser votre chaîne d'information dans Azure
parNis
 
PPTX
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
parMaxime Rastello
 
PDF
Samedi SQL Québec - Intro par Louis Roy
parMSDEVMTL
 
PPTX
Tour de France Azure PaaS 4/7 Sécuriser la solution
parAlex Danvy
 
PPTX
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
paraOS Community
 
PPTX
10 méthodes de sécurisation de votre espace Microsoft 365 - Mohamed Amar ATHIE
parMohamed Amar ATHIE
 
PPTX
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
parMicrosoft
 
PPTX
Azure Information Protection AIP Protection de documents Sécurite Cloud ASTOI...
parAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
PDF
La Sécurité dans Azure
parEstelle Auberix
 
Sécurité des données
parMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
parMicrosoft Technet France
 
Geneva MS IT PRO - La sécurité au Service de votre Transformation Digitale
parJean NETRY-VALERE
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
parMicrosoft Technet France
 
Cloud Security - Prenez le virage du cloud en gardant le contrôle de vos donn...
parKyos
 
Encryption des données
parJulieGueho
 
Assurer la protection des données dans Azure et O365
parEstelle Auberix
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
parMicrosoft Technet France
 
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
parMaxime Rastello
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
parPatrick Guimonet
 
MS Tech Summit 2018 - Classifier, étiqueter et protéger les données sensibles...
parMaxime Rastello
 
Sécuriser votre chaîne d'information dans Azure
parNis
 
aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM
parMaxime Rastello
 
Samedi SQL Québec - Intro par Louis Roy
parMSDEVMTL
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
parAlex Danvy
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
paraOS Community
 
10 méthodes de sécurisation de votre espace Microsoft 365 - Mohamed Amar ATHIE
parMohamed Amar ATHIE
 
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
parMicrosoft
 
Azure Information Protection AIP Protection de documents Sécurite Cloud ASTOI...
parAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
La Sécurité dans Azure
parEstelle Auberix
 

Plus de Microsoft Technet France

PDF
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
parMicrosoft Technet France
 
PPTX
Comment réussir votre déploiement de Windows 10
parMicrosoft Technet France
 
PPTX
OMS log search au quotidien
parMicrosoft Technet France
 
PPTX
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
parMicrosoft Technet France
 
PPTX
Wavestone déploie son portail Powell 365 en 5 semaines
parMicrosoft Technet France
 
PPTX
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
parMicrosoft Technet France
 
PPTX
SharePoint Framework : le développement SharePoint nouvelle génération
parMicrosoft Technet France
 
PPTX
Stockage Cloud : il y en aura pour tout le monde
parMicrosoft Technet France
 
PPTX
Bien appréhender le concept de Windows As a Service
parMicrosoft Technet France
 
PPTX
Comprendre la stratégie identité de Microsoft
parMicrosoft Technet France
 
PPTX
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
parMicrosoft Technet France
 
PPTX
Déploiement hybride, la téléphonie dans le cloud
parMicrosoft Technet France
 
PPTX
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
parMicrosoft Technet France
 
PPTX
SharePoint 2016 : architecture, déploiement et topologies hybrides
parMicrosoft Technet France
 
PPTX
Gestion de Windows 10 et des applications dans l'entreprise moderne
parMicrosoft Technet France
 
PPTX
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
parMicrosoft Technet France
 
PPTX
Simplifier vos déploiements vers Windows 10
parMicrosoft Technet France
 
PPTX
Protéger ses données, identités & appareils avec Windows 10
parMicrosoft Technet France
 
PPTX
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
parMicrosoft Technet France
 
PPTX
Migration et Plan de Reprise d’Activité simplifié dans Azure
parMicrosoft Technet France
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
parMicrosoft Technet France
 
Comment réussir votre déploiement de Windows 10
parMicrosoft Technet France
 
OMS log search au quotidien
parMicrosoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
parMicrosoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
parMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
parMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
parMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
parMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
parMicrosoft Technet France
 
Comprendre la stratégie identité de Microsoft
parMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
parMicrosoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
parMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
parMicrosoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
parMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
parMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
parMicrosoft Technet France
 
Simplifier vos déploiements vers Windows 10
parMicrosoft Technet France
 
Protéger ses données, identités & appareils avec Windows 10
parMicrosoft Technet France
 
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
parMicrosoft Technet France
 
Migration et Plan de Reprise d’Activité simplifié dans Azure
parMicrosoft Technet France
 

Protéger vos données avec le chiffrement dans Azure et Office 365

  • 1.
  • 2.
  • 3.
    N° 3 Protéger vosdonnées avec le chiffrement dans Office 365 et Azure
  • 4.
    N° 4 Question Réponse Oùsont les données à protéger ? En interne, sur l’appareil, dans le Cloud ? Où sont stockées les clés ? En interne, dans le Cloud, dans un HSM, etc. ? Qui a accès aux clés et comment s’en assurer ? Le service Cloud, les administrateurs client, les développeurs, etc. Qui peut accéder aux données en clair ? Le service Cloud, le client, les administrateurs Où s'effectuent les opérations de chiffrement/déchiffrement ? Le service Cloud, le client, une passerelle Y-a-t-il un impact fonctionnel sur le services ? Indexation, audit, etc. De quels risques se protège-t-on ? Ecoute, interception des communications, vol de disque, administrateur/opérateurs interne malveillants, etc. Quels sont les risques résiduels ? Usurpation d’identité, dénis de service, intégrité des données, sécurité de l’appareil pour l’administration du locataire, etc.
  • 5.
    N° 5 Un rapidepréambule sur Azure Key Vault/Key Vault Certificates …
  • 6.
  • 7.
    N° 7 Modèles dechiffrement Chiffrement CLOUD Chiffrement CLIENT Chiffrement côté service Cloud avec les clés gérées par le service Chiffrement côté service Cloud utilisant les clés du client dans Azure Key Vault Chiffrement côté service Cloud utilisant les clés du client gérées en interne Chiffrement des données effectué au niveau du client avant stockage dans le cloud • Les services Cloud peuvent voir les données en clair • Microsoft gère les clés • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud peuvent voir les données en clair • Le client contrôle les clés à travers Azure Key Vault • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud peuvent voir les données en clair • Le client contrôle les clés en interne • Il s’agit de fonctionnalités Cloud complètes • Les services Cloud ne peuvent PAS voir les données en clair • Les clés du client restent en interne • Fonctionnalités Cloud REDUITES
  • 8.
  • 9.
    N° 9 Données entransit – (Options de) chiffrement * Optionnel, choix d’implémentation du client Données en transit entre un utilisateur et le service Données en transit entre les centres de données Communications de bout en bout entre les utilisateurs Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations Protéger contre l’interception en masse des données Protéger contre l’interception ou la perte des données en transit entre utilisateurs Portail Office 365 (et autres points de terminaisons) : • Chiffrement des transactions à l’aide de TLS avec HTTP, POP3, etc. • Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2 Les données répliquées/transférées entre les centres de données Office 365 sont chiffrées avec TLS ou IPsec, p.ex. TLS avec SMTP RMS pour Office 365/Azure RMS/Azure Information Protection* O365 Message Encryption* S/MIME*
  • 10.
    N° 10 Données aurepos – Options de chiffrement
  • 11.
    N° 11 Azure RMS/AzureInformation Protection Authentification et Collaboration • Cf. session précédente Protéger votre patrimoine informationnel dans un monde hybride avec Azure Information Protection
  • 12.
    N° 12 Microsoft CloudApp Security(pour Office 365* et au-delà) “VOS" APPLICATIONS ET APIS+ “VOS" APPAREILS *Office 365 Advanced Security Management
  • 13.
    N° 13 En guisede « synthèse » sur les risques couverts Risques Risques Fonctionnalités Accès aux données client par un administrateur interne malveillant Vol d’information Fuite d’information Protection des communications à l’aide de TLS avec HTTP, POP3, SMTP, etc.  Chiffrement des données aux repos (Chiffrement avancé)  Chiffrement des disques (BitLocker)  S/MIME / Office 365 message encryption (OME)   Azure RMS/ Azure Information Protection   Solution tierce de type Cloud Encryption Gateway  Office 365 Advanced Security Management/Cloud App Security  Authentification multifacteur pour Office 365  MAM / Windows Information Protection   Accès serveur audité, contrôlé et limité dans le temps (LockBox/Customer Lockbox)  DLP intégré à Office 365  Risques CHIFFREMENTAUTRES
  • 14.
  • 15.
    N° 15 Données entransit – Options de chiffrement * Choix de configuration (additionnelle) du client Données en transit entre un utilisateur et le service Données en transit entre les centres de données Communications de bout en bout entre les utilisateurs Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations Protéger contre l’interception en masse des données Protéger contre l’interception ou la perte des données en transit entre utilisateurs Portail Azure : • Chiffrement des transactions à l’aide de TLS avec HTTP • Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2 Acceptation UNIQUEMENT de disques de données chiffrés pour l’importation/exportation TLS (avec HTTP) pour l’API REST pour le stockage* Chiffrement du trafic entre le client Web et le serveur à l’aide de TLS avec HTTP sur IIS* Chiffrement du trafic entre le client et Azure SQL Database à l’aide de TLS avec HTTP Les données répliquées/transférées entre les centres de données Azure sont chiffrées avec TLS ou IPsec Fonction de la mise en œuvre faite des services Azure*
  • 16.
    N° 16 Données aurepos – Options de chiffrement INTERFACESDEGESTIONDECLÉS TDE (TRANSPARENT DATA ENCRYPTION) - <SQL Server ou Azure SQL Database> CLE (CELL LEVEL ENCRYPTION) - <SQL Server ou Azure SQL Database> SAUVEGARDES CHIFFRÉES SQL SERVER SQL SERVER (VM) ET AZURE SQL DATABASE AZURE DISK ENCRYPTION - <BitLocker [Windows], DM-Crypt [Linux]> CHIFFREMENT DE VOLUME PARTENAIRE - <CloudLink SecureVM, SafeNet ProtectV, etc.> MACHINES VIRTUELLES – WINDOWS ET LINUX AZURE STORAGE SERVICE ENCRYPTION (VERSION PRÉLIMINAIRE) STOCKAGE AZURE – BLOBS, TABLES ET QUEUES AZURE HDINSIGHT AZURE BACKUP SERVICE - <Tire parti du chiffrement d’Azure Disk Encryption> AZURE BACKUP SERVICE AZURE DATA LAKE – Toujours actif (choix du schéma de gestion de clé) AZURE DATA LAKE
  • 17.
    N° 17 Azure DiskEncryption Azure Disk Encryption for Windows and Linux Azure Virtual Machines GitHub
  • 18.
  • 19.
  • 20.
    N° 20 Chiffrement SQLServer (VM) ou Azure SQL Database
  • 21.
    N° 21 Chiffrement SQLServer (VM) ou Azure SQL Database(suite)
  • 22.
    N° 22 Chiffrement dustockage Azure
  • 23.
    N° 23 En guisede « synthèse » sur les risques couverts RisquesFonctionnalités Accès aux données client par un administrateur/ opérateur malveillant (fournisseur Cloud) Vol d’information Fuite d’information Protection des communications à l’aide de TLS avec HTTP   Azure Disk Encryption (IaaS)  Chiffrement côté client du stockage Azure   Chiffrement du stockage Azure (Service)  SQL Server/Azure SQL Database (TDE, CLE, sauvegardes)  SQL Server/Azure SQL Database (chiffrement intégral)   Risques
  • 24.
    N° 24 En guisede synthèse sur les diverses options de chiffrement abordées ChiffrementCLOUD ChiffrementCLIENT Azure
  • 25.
    N° 25 Et sil’on parlait des risques résiduels pour conclure ce (rapide) tour d’horizon ?
  • 26.
    N° 26 Les autresdomaines à couvrir La protection des données nécessite une approche complète de bout-en-bout 100101100101 011010 011010 100101100101 011010 011010 100101100101 011010 011010 100101100101 011010 011010 CONTRÔLER L’ACCÈS PROTÉGER LE POSTE D’ADMINISTRATION CHIFFRER LES DONNÉES Protéger les clés de chiffrement, sauvegarder les données Revue des permissions, protection des identités et gestion des identités privilégiées, authentification forte, contrôle d’accès conditionnel, etc. Renforcement de la sécurité de l’appareil, protection anti-malware, contrôle de l’état de santé de l’appareil, etc.
  • 27.
    N° 27 En guisede conclusion
  • 28.
    N° 28 Pour allerplus loin avec le Centre de confiance Microsoft trustverbe |ˈtrəst www.microsoft.com/fr-fr/trustcenter
  • 29.
    N° 29 Pour allerau-delà Data Encryption Technologies in Office 365 Office 365 Security and compliance Protecting Data and Privacy in the Cloud Azure Disk Encryption for Windows and Linux Azure Virtual Machines Security, Privacy, and Compliance in Microsoft Azure Le chiffrement dans Office 365 DLP avec Office 365 Thalès et Microsoft France présentent Cyris for Office 365 Outlook Azure Security Center Azure Disk Encryption Introduction à Azure Key Vault Azure Key Vault en pratique
  • 30.
    N° 30 Pour allerau-delà dans un monde en évolution constante… https://blogs.office.com/ https://blogs.microsoft.fr/office/ https://azure.microsoft.com/en-us/blog/ http://blogs.microsoft.fr/azure/ https://blogs.technet.microsoft.com/enterprisemobility/ https://blogs.technet.microsoft.com/kv
  • 31.
  • 32.
    N° 32 @microsoftfrance @Technet_France@msdev_fr @philberd | @jyvesgrasset N° 32
  • 33.

Notes de l'éditeur

  • #5 Titre : les questions à se poser Objectifs : Récapituler la liste des questions à se poser avant de choisir une solution de chiffrement Description : Cette liste correspond aux questions que peuvent légitimement se poser les clients avant de mettre en œuvre une solution de chiffrement. Tout client aura la démarche classique de chiffrer l’ensemble de ses données avec ses propres clés sans se poser les 2 dernières questions qui sont pourtant cruciales Y-a-t ’il des pertes fonctionnelles par le fait de rendre inaccessibles en clair les données que l’on met à disposition du service De quels risques souhaite-t-on se protéger ? En effet, par le chiffrement la plupart des clients pensent pouvoir utiliser un service et se protéger d’actions malveillantes ou d’écoute de la part même du fournisseur de Cloud (Microsoft)- en relation avec le Patriot Act, l’affaire Snowden, etc. On verra que les réponses sont plus complexes que « je chiffre tout et je suis protégé » et que l’approche par les risques est la bonne !
  • #6 Objectifs : Donner une vue d’ensemble de la solution Azure Key Vault. Description : Azure Key Vault offre un moyen facile et rentable pour sauvegarder les clés et les autres secrets utilisés par les applications et services cloud à l'aide de modules HSM. Avec Azure Key Vault, les clients peuvent simplifier la gestion des clés et garder le contrôle des clés servant à accéder et à chiffrer leurs données.
  • #8 Objectifs: Détailler les 2 grands modèles de chiffrement avec leurs avantages et inconvénients respectifs Expliquer que le chiffrement Cloud n’a pas d’impact fonctionnel et préserve des fonctionnalités mise en œuvre par les services concernés, p. ex. avec Office 365 comme la recherche, l’indexation, le DLP, l’antimalware, etc. Expliquer qu’à l’inverse le chiffrement côté client donne plus de contrôle sur l’endroit où s’opère le chiffrement mais avec potentiellement un impact fort sur les fonctionnalités. Chiffrement côté cloud/serveur/service Lorsque le chiffrement est effectué au niveau du service, il n’y a aucune perte de fonctionnalités au niveau du service Cloud On a 3 déclinaisons sur la gestion des clés avec une progression dans le contrôle des clés les clés sont créées et gérées par le service lui-même, ce qui implique que toute cette gestion est transparente vis-à-vis de l’utilisateur Le service s’appuie sur Azure Key Vault et est en mesure d’utiliser des clés maître générées par le client lui-même Le service s’appuie sur des clés créées et gérées en interne par le client Dans ces 3 cas, le service a accès aux données en clair : le chiffrement des données se fait avec des clés symétriques créées et gérées par le service qui sont ensuite protégées par la clé maître du client Quand la clé maître se trouve dans le HSM, elle n’est pas exportable, c’est-à-dire que Microsoft n’y aura jamais accès, mais elle peut être utilisée pour effectuer des opérations cryptographiques, comme chiffrer des clés symétriques. Chiffrement côté client Lorsque le chiffrement est effectué au niveau du client, c’est-à-dire avant de mettre la donnée à disposition du service, ce dernier ne possédant pas les clés pour déchiffrer n’aura aucune accès aux données en clair. Il est résulte que les fonctionnalités en seront réduites: sans possibilité d’accéder aux données en clair, impossibilité de faire des recherches ou d’indexer. On a donc forcément un compromis à trouver en fonction des fonctionnalités recherchées et de la sensibilité des données traitées. Lorsque l’on travaille en mode PaaS, sachant que l’on développe l’application, on a plus de latitude pour l’implémentation du chiffrement ; la réflexion doit se faire en fonction de la sensibilité des données et en fonction du ou des services que l’on utilise.
  • #10 Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Office 365 pour les données en transit et les catégoriser Description : Office 365 chiffre les données en transit afin que les données restent en permanence protégées. Protection avec TLS (HTTPS) : Le client accède aux services via une connexion Internet établie depuis l'emplacement où il travaille et qui aboutit dans les centres de données Microsoft. Ces connexions sont chiffrées via le standard TLS (Transport Layer Security). Ainsi, le lien entre le client et le serveur est sécurisé afin de protéger la confidentialité des données et l'intégrité entre le poste de travail et le centre de données. Pages de Qualys TLS : Portail Office 365 : https://www.ssllabs.com/ssltest/analyze.html?d=portal.office.com&hideResults=on Exchange Online : https://www.ssllabs.com/ssltest/analyze.html?d=outlook.office365.com&hideResults=on&latest SharePoint Online : https://www.ssllabs.com/ssltest/analyze.html?d=microsoft%2dmy.sharepoint.com&hideResults=on&latest Skype Entreprise (SIP) : https://www.ssllabs.com/ssltest/analyze.html?d=sipdir.online.lync.com Skype Entreprise (Web) : https://www.ssllabs.com/ssltest/analyze.html?d=webdir.online.lync.com&hideResults=on Exchange Online Protection : https://ssl-tools.net/mailservers/microsoft-com.mail.protection.outlook.com Dans SharePoint One et OneDrive Entreprise, il existe deux scénarios dans lesquels les données entrent et sortent des centres de données. Communication du client avec le serveur La communication vers OneDrive Entreprise sur Internet utilise des connexions TLS. Toutes les connexions TLS sont établies à l’aide de clés 2048 bits. Déplacement de données entre des centres de données La raison principale du déplacement de données entre des centres de données est de permettre la récupération d’urgence via la géo-réplication. Par exemple, les deltas de stockage d’objets blob et les journaux de transaction SQL Server transitent par ce canal. Alors que ces données sont déjà transmises par le biais d’un réseau privé, elles sont encore mieux protégées à l’aide du meilleur chiffrement de sa catégorie.
  • #11 Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Office 365 pour les données au repos ET expliquer la proposition de valeur du chiffrement avancé (Advanced Encryption) et la différence avec BitLocker, ainsi que le chiffrement par fichier (per-file encryption) Description du chiffrement avancé: Evolution du chiffrement dans Office 365 de deux composants Chiffrement par l'intermédiaire de code de service vs. Windows BitLocker Contrôle client facultatif des clés maître utilisées pour le chiffrement par le code de service, alias BYOK (apportez votre propre clé) ou CYOK (contrôle de votre propre clé) Le champ d'application de chiffrement avancé est le contenu client stocké au repos dans les boîtes aux lettres Exchange Online et dans les bases de données de contenu SharePoint Online Le contenu client Exchange Online inclut les messages électroniques (y compris les pièces jointes), les éléments de calendrier, les notes, les tâches, les dossiers, etc. Le contenu client SharePoint Online désigne les fichiers stockés dans SharePoint Online par un utilisateur final Les données clients sont toujours stockées chiffrées En intégrant le chiffrement directement dans la pile applicatif Office 365, nous vous donnons l'assurance que vos données sont protégées indépendamment de leur emplacement de stockage ou de la présence d’un administrateur sur le serveur. Si je QUITTE Office 365, Microsoft n'a pas accès à mes données Le chiffrement avec une clé maitre spécifique au locataire permet de révoquer la clé lors de la résiliation d’Office 365. Le contrôle des clés maitres répond à certaines exigences de conformité. Meilleur isolation des données par rapport aux opérateurs HUMAINS BitLocker est lié au modèle d'administration de Windows Server. Le chiffrement au niveau de l’application fournit une forte séparation entre les données des clients et les opérateurs du serveur. Les clés racine sont protégés par Azure Key Vault Les clés de service sont protégés en les chiffrant à l'aide d'une clé de chiffrement plus élevée dans la chaîne de clés Azure Key Vault offre de la haute disponibilité et un SLA de 99,9 % La rotation des clés est assurée par vos soins Les applications Office 365 interagissent avec Azure Key Vault, tout comme le ferait n'importe quelle autre application Azure Key Vault détermine la prise en charge de modules HSM – Voir documentation afférente Les clés de chiffrement de données sont « emballées » par une clé de portée, elle-même « emballée » par une clé racine Pour Exchange Online, la portée est la collection de boîtes aux lettres ; pour SharePoint c'est la collection de sites Pour utiliser le BYOK, un emplacement de la clé Azure Key Vault doit être fourni à Office 365, l'autorisation d’« emballer »/« désemballer » doit être accordée et toutes les exigences en matière de licences doivent avoir été remplies. Vous devez utiliser les méthodes décrites dans la documentation d'Azure Key Vault pour générer et importer vos propres clés. Cf. https://azure.microsoft.com/fr-fr/services/key-vault Un processus en 6 étapes : Vous activez Azure Key Vault et sélectionner un SKU géo-redondant lors de la création des coffres de clés au sein des géographies souhaitées Vous créez ou importez une paire de clés et accordez l'accès à votre abonnement Office 365 Vous mettez à jour la configuration de votre locataire Office 365 avec les informations sur les clés de chiffrement Office 365 extrait la clé publique du locataire, crée des clés de politique et utilise la clé publique de votre coffre de clés Azure Key Vault pour chiffrer la clé de politique Office 365 Vous affectez la politique aux boîtes aux lettres ou aux collections de site Office 365 utilise la clé de politique attribuée pour chiffrer la clé de boîtes aux lettres ou de collections de site Description du chiffrement par fichier : Les fichiers sont découpés en morceaux/fragments (chunks) en fonction de la taille Se base sur Shredded Storage introduit avec SharePoint 2013 Offre de meilleur performance et optimise le stockage (versions de fichiers) Chaque morceau de fichier est chiffré avec une clef AES-256 bits unique Les clefs sont protégées et chiffrées dans la base de contenu SharePoint (SharePoint Content Database) La clef maître est stockée dans le Key Store (protégée par SQL TDE) Key Store dédiée BYOK avec le chiffrement avancé pour Office 365 Les morceaux de fichiers sont enfin stockés sur Azure aléatoirement dans plusieurs conteneurs Azure Storage sous forme de blob Utilisation de Microsoft Azure Engagement de stocker les données Azure dans la même géographie qu’Office 365 L’accès aux comptes de stockages Azure est contrôlée à l’aide de crédentiels séparés. http://blogs.office.com/2015/01/30/data-encryption-works-onedrive-business-sharepoint-online/ Le chiffrement lors du stockage comprend deux composants : le chiffrement au niveau du disque BitLocker et le chiffrement par fichier du contenu client. Alors que BitLocker chiffre toutes les données sur un disque, le chiffrement par fichier va plus loin en ajoutant une clé de chiffrement unique pour chaque fichier. En outre, chaque mise à jour de chaque fichier est chiffrée à l’aide de sa propre clé de chiffrement. Avant d’être stockées, les clés permettant d’accéder au contenu chiffré sont elles-mêmes chiffrées et stockées dans un emplacement physiquement distinct du contenu. Chaque étape de ce chiffrement utilise la méthode AES (Advanced Encryption Standard) avec des clés 256 bits et est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. Le contenu chiffré est réparti sur un certain nombre de conteneurs dans l’ensemble du centre de données, et chaque conteneur possède des informations d’identification uniques. Ces informations sont stockées dans un emplacement physique distinct du contenu ou des clés de contenu.
  • #12 Objectifs : Illustrer qu’Azure RMS (pour Office 365)/Azure Information Protection est la solution pour protéger les données en situation de mobilité et collaboratif Description : Permet de protéger des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, à l’intérieur ou à l’extérieur du périmètre du système d’information. Azure RMS utilise le format XrML avec une clé RSA 2048 bits (Windows) ou JSON (mobile), pour représenter les entités et exprimer des politiques d’usage Les certificats utilisent des clés RSA de module 2048 bits Les licences ont une clé de contenu AES 128 bits Les signatures utilisent un condensat SHA-256 Azure RMS est une technologie contribuant à la protection des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, sur votre réseau ou à l’extérieur du périmètre de votre système d’information. Les utilisateurs peuvent définir exactement comment le destinataire pourra utiliser les données Les organisations peuvent créer des modèles de politiques de sécurité personnalisés et les gérer de manière centralisée (ex : template RMS « Affichage confidentiel uniquement ») Permet aux développeurs de construire des solutions de protection des données flexibles et personnalisables http://thermsguy.blob.core.windows.net/slides/AzureRMS-SecurityEvaluation-v1.docx
  • #14 Objectifs : Montrer quels sont les risques couverts selon les technologies employées avec Office 365 Description Faire la différence entre vol d’information et fuite d’information. Vol d’information : vol volontaire d’information par une personne déterminée qui cherche à pirater. Fuite d’information : suite à événement accidentelle, par exemple perte d’un ordinateur portable qui n’a pas de protection, pas de chiffrement. Expliquer que chaque fonctionnalité de sécurité permet de se protéger et de couvrir un risque. Montrer également qu’il ne faut pas uniquement considérer les options de chiffrement.
  • #16 Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Azure pour les données en transit et les catégoriser Description : Azure chiffre les données en transit afin que les données restent en permanence protégées. Protection à l’aide de TLS avec HTTP : Le client accède aux services Azure via une connexion Internet établie depuis l'emplacement où il travaille et qui aboutit dans les centres de données Microsoft. Ces connexions sont chiffrées via le standard TLS (Transport Layer Security). Ainsi, le lien entre le client et le serveur est sécurisé afin de protéger la confidentialité des données et l'intégrité entre le poste de travail et le centre de données. Page de Qualys TLS : Portail Azure : https://www.ssllabs.com/ssltest/analyze.html?d=portal.azure.com&hideResults=on Version de TLS utilisées, suites cryptographiques, Perfect Forward Secrecy (PFS)
  • #17 Objectifs : Montrer le panorama des solutions de chiffrement disponibles dans Azure pour les données au repos + Azure Machine Learning WorkSpaces, Azure Stream Analytics, Azure Media Services
  • #18 Objectifs: Permet de décrire une vue d’ensemble de Azure Disk Encryption Fonctionnalités Azure Disk Encryption permet de chiffrer les disques OS et données des VM Windows et Linux S’appuie sur BitLocker (VM Windows) et DM-Crypt (VM Linux) La solution est intégrée avec Azure Key Vault pour donner au client le contrôle des clés de chiffrement des disques (clés BitLocker) et des secrets (Passphrase pour Linux) Toutes les données sont chiffrées dans Azure Storage du client La gestion des clés est intégrée dans le Key Vault créé et géré par le client avec utilisation de la technologie HSM (boitier physique hébergé dans le centre de données) Possibilité de créer ou d’importer une KEK (Key Encryption Key : RSA 2048) pour protéger les clés de chiffrement BitLocker Le client accorde des accès en lecture-écriture au container Key Vault à une identité Azure AD pour permettre le chiffrement des volumes Les administrateurs Azure n’ont aucun accès au coffre Azure Key Vault du client utilisé pour la solution de chiffrement. Le chiffrement peut s’appliquer sur des VM en cours d’exécution, des VM créées depuis la Galerie ou des VM déjà chiffrées importées par le client (importation du VHD déjà chiffré et clés de chiffrement) Ressources Vidéo Concrètement Episode 7 - Azure Disk Encryption : https://channel9.msdn.com/Blogs/Concretement/Episode-7-Azure-Disk-Encryption Cours MVA Module 3 : https://mva.microsoft.com/fr-fr/training-courses/azure-key-vault-en-pratique-16572?l=svn7dFdgC_1205192797 Billet http://blogs.msdn.com/b/azuresecurity/archive/2015/11/17/azure-disk-encryption-for-linux-and-windows-virtual-machines-public-preview.aspx Livre blanc Azure Disk Encryption for Windows and Linux Azure Virtual Machines : https://gallery.technet.microsoft.com/Azure-Disk-Encryption-for-a0018eb0 Modèles ARM : https://azure.microsoft.com/fr-fr/documentation/templates/?term=encryption
  • #21 Objectifs : Description des différentes fonctionnalités de chiffrement avec une catégorisation par type de chiffrement et par gestion des clés Description Le chiffrement transparent des données de la base de données effectue le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions sans nécessiter de modifications de l'application. L'ensemble de la base de données est chiffré à l'aide d'une clé symétrique (AES-256), appelée clé de chiffrement de base de données. Dans la base de données SQL, la clé de chiffrement de base de données est protégée par un certificat géré par SQL Server (VM) ou le service Azure SQL Database. (Le certificat est unique pour chaque serveur de base de données SQL.) La clé de chiffrement peut être stockée dans Azure Key Vault avec SQL server (VM) Avec Azure SQL Database, toute la gestion des clés pour la copie des bases, la géo-réplication ou la restauration est prise en charge par le service Si une base de données a une relation de géo-réplication, elle est protégée par une clé différente sur chaque serveur. Si deux bases de données sont connectées au même serveur, elles partagent le même certificat. Microsoft fait alterner automatiquement ces certificats au moins tous les 90 jours. Pour l’activation de cette fonction avec Azure SQL Database, il suffit de 2 clics au niveau de la base de données à partir du portail Azure : cliquer sur ON, puis Sauvegarder, c’est tout! Plus Le chiffrement du fichier de la base de données est effectué au niveau de la page. Les pages dans une base de données chiffrée sont chiffrées avant d'être écrites sur le disque et déchiffrées lors de la lecture en mémoire. TDE n’augmente pas la taille de la base de données chiffrée TDE utilise AES-256 (avec Intel Data Protection Technology with Advanced Encryption Standard New Instructions (AES-NI) pour de meilleures performances sur Azure SQL database). Toute la gestion des clés et des certificats est prise en charge par Azure SQL Ressources Announcing Transparent Data Encryption for Azure SQL Database https://blogs.msdn.microsoft.com/sqlsecurity/2015/04/29/announcing-transparent-data-encryption-for-azure-sql-database/ Chiffrement transparent des données avec Azure SQL Database https://msdn.microsoft.com/library/dn948096.aspx Chiffrement transparent des données (TDE) https://msdn.microsoft.com/fr-fr/library/bb934049.aspx SQL Encryption with Hardware Security Modules http://www.safenet-inc.com/data-protection/database-encryption/sql-encryption/
  • #22 Objectifs : Description du chiffrement Azure SQL Always Encrypted Description Always Encrypted est une fonctionnalité conçue pour protéger les données sensibles, telles que les numéros de carte de crédit ou un numéro d'identification national (par exemple les numéros de sécurité sociale), stockées dans des bases de données SQL Server. Always Encrypted permet aux clients de chiffrer des données sensibles à l'intérieur d’applications clientes sans jamais révéler les clés de chiffrement à SQL. En conséquence, Always Encrypted fournit une séparation entre ceux qui possèdent les données (et peuvent les voir) et ceux qui gèrent les données (mais ne devrait pas y avoir accès). Les clés de chiffrement sont gérées à l'extérieur de la base de données pour une sécurité maximale et la séparation des fonctions. Seuls les utilisateurs autorisés ayant accès aux clés de déchiffrement peuvent voir les données non chiffrées tout en utilisant vos applications. Always Encrypted rend le chiffrement transparent pour les applications. Un pilote installé sur l'ordinateur client chiffre et déchiffre automatiquement les données sensibles dans l'application cliente. Le pilote chiffre les données dans les colonnes sensibles avant de les transmettre au moteur de base de données, et automatiquement réécrit les requêtes de telle sorte que la sémantique de l'application soit conservée. De même, le pilote déchiffre de manière transparente les données contenues dans les résultats de la requête et qui sont stockées dans des colonnes chiffrées,. Impacts fonctionnels Pas de modification de l’application et les données sont lisibles depuis l’application (les opérations de chiffrement/déchiffrement sont effectuées de manière transparente par le client) On dispose de 2 options de chiffrement Chiffrement aléatoire Permet la récupération transparente des données chiffrées, mais AUCUNE OPERATION Plus sûr en raison de la nature aléatoire du chiffrement Chiffrement déterministe Permet la récupération transparente des données chiffrées ET comparaison sur égalité Par exemple les clauses et jointure WHERE, distinct, group by Ressources Always Encrypted in SQL Server & Azure SQL Database https://blogs.technet.microsoft.com/dataplatforminsider/2015/11/18/always-encrypted-in-sql-server-azure-sql-database/ Always Encrypted (moteur de base de données) : https://msdn.microsoft.com/fr-fr/library/mt163865.aspx Chiffrement intégral : Protéger les données sensibles dans Base de données SQL et stocker vos clés de chiffrement dans Azure Key Vault : https://azure.microsoft.com/fr-fr/documentation/articles/sql-database-always-encrypted-azure-key-vault/
  • #23 Objectifs : Description des options de chiffrement du stockage Azure côté client Fonctionnalités côté client Chiffrement/ Déchiffrement La librairie Azure Storage côté client génère une clé de chiffrement de contenu CEK (content encryption key), clé symétrique AES 256. Les données sont chiffrées avec cette CEK et cette clé est elle-même chiffrée avec une KEK (key encryption key) qui peut être gérée localement ou dans Azure Key Vault. Les données sont alors transférées dans le service Azure Storage. La clé CEK (chiffrée) est stockée sous forme de métadonnées (Blob) ou intégré avec les données chiffrées (queue messages et entités de tables). La librairie n’a jamais accès à la KEK; elle invoque simplement l’algorithme de wrapping (emballage) de la CEK fourni par Key Vault. L’utilisateur peut choisir sa propre KEK Le déchiffrement se fait en sens inverse: la CEK est récupérée et déchiffrée par la KEK au niveau client pour ensuite déchiffrer les données. Table et file d’attente de messages (message Queue) Table : Le client génère un vecteur d’initialisation (random Initialization Vector ou IV) de 16 octets et une CEK de 32 octets pour chaque entité. Chaque propriété est ensuite chiffrée en dérivant un nouveau IV pour chacune des propriétés. Ressources Chiffrement côté client et Azure Key Vault pour Microsoft Azure Storage : https://azure.microsoft.com/fr-fr/documentation/articles/storage-client-side-encryption/ Chiffrement côté client avec Java pour Microsoft Azure Storage : https://azure.microsoft.com/fr-fr/documentation/articles/storage-client-side-encryption-java/ Fonctionnalités côté service Fonctionnalités Chiffrement au niveau du stockage Azure pour le stockage Blob (block, append et page); voir ci-dessous pour plus de précision sur les types de Blob Disponible pour tout nouveau compte de stockage crée avec Azure Resource Manager Les données sont chiffrées en AES 256 avec des clés gérées par Microsoft Important pour des aspects Conformité (il est possible de répondre aux attentes d’appel d’offre et « de cocher la case, chiffrement au repos ») Chaque opération d’écriture utilise une nouvelle clé dérivée d’une clé de chiffrement elle-même chiffrée avec une clé maître Plus d’information https://blogs.msdn.microsoft.com/windowsazurestorage/2016/03/31/cross-post-announcing-the-preview-of-azure-storage-service-encryption-for-data-at-rest/ Azure Storage Service Encryption pour les données au repos (version préliminaire) : https://azure.microsoft.com/fr-fr/documentation/articles/storage-service-encryption/ Blob Storage Azure Blob storage est un service permettant de stocker de grandes quantités de données non structurées, telles que du texte ou des données binaires, qui peut être accessible de partout dans le monde via HTTP ou HTTPS. Il est possible d’utiliser le stockage de Blob pour rendre des données accessibles publiquement, ou au contraire pour les stocker des données d'application de manière privée. Blob: Un fichier de tout type et toute taille. Azure Storage offre trois types de blobs: les blobs de type block, page ou ajout (append) Block blobs : idéal pour stocker des fichiers de type texte ou binaire, tels que des documents ou des fichiers média Append blobs Identiques à des blobs de type block de par le fait qu’ils soient composes de blocs, mais optimisés pour des opérations d’ajout; particulièrement intéressant pour des scenarios de journalisation Page blobs Peuvent avoir une taille jusqu’à 1 To, et plus efficaces pour des opérations fréquentes de lecture/écriture. Les machines virtuelles Azure utilisent des blobs de type page pour les disques système et données
  • #24 Objectifs : Montrer quels sont les risques couverts selon les technologies employées Description Le tableau détaille 3 risques principaux couverts ou non en fonction des technologies La possibilité pour un administrateur/opérateur malveillant du côté du fournisseur de Cloud d’accéder aux données Le risque de vol d’information que l’on associe à une action proprement malveillante La fuite d’information que l’on associe plutôt à une action involontaire aboutissant à la diffusion d’information des frontières autorisées On observe que L’ensemble des solutions de chiffrement protègent contre le vol d’information; en effet, dès lors que les données sont chiffrées au repos sur leurs supports, le vol des supports ne permet pas d’accéder aux données qu’ils hébergent. Le chiffrement des communications par HTTPS avec TLS protège les données en transit contre l’interception qui aboutirait à un vol ou fuite d’informations Le risque de fuite d’information n’est pas couvert pour les 4 dernières solutions car un utilisateur autorisé pourra accéder aux données en clair et involontairement les recopier ou les envoyer En toute logique, seules les 2 solutions chiffrant les données côté client sont celles qui protègent contre un administrateur malveillant côté fournisseur de Cloud au détriment d’une éventuelle perte de fonctionnalité; les données étant chiffrées avant d’être copiées dans le Cloud, elles ne sont PAS disponibles en clair sur le support ou en mémoire de la part du service Cloud.
  • #25 Objectifs : Proposer une synthèse de ce qui a été abordé en ligne avec la catégorisation proposée : chiffrement cloud vs. chiffrement client par exemple Description : Dans les parties supérieure et inférieure, on trouve respectivement les solutions de chiffrement disponibles dans notre offre SaaS Office 365 et dans Azure. Dans la partie gauche, les fonctions de chiffrement disponibles au niveau du service Cloud lui-même et dans la partie droite, les solutions à mettre en œuvre du côté client. Certaines solutions sont implémentées par le service lui-même et transparentes, par exemple le chiffrement par fichier disponible sur SharePoint Online et OneDrive Entreprise D’autres sont des solutions complémentaires qui peuvent être activées selon les utilisateurs ou les données, par exemple RMS pour Office 365 côté Cloud. Concernant Azure, la protection peut être implémentée côté client par l’application pour chiffrer les données avant leur stockage dans Azure en limitant la complexité d’implémentation par le biais de bibliothèques
  • #26 Objectifs : Montrer un ensemble de risques qui ne sont pas couverts par le chiffrement Disponibilité Le chiffrement protège les données mais sa mise en œuvre n’est pas sans contrepartie; il faut en effet gérer les clés de chiffrement et toute erreur humaine dans la gestion des clés peut provoquer la perte des données que l’on cherchait justement à protéger. De la même manière, un déni de service sur le dispositif charger de déchiffrer les données impliquera une indisponibilité de l’accès à ces dernières Intégrité des données Si les données sont corrompues, le chiffrement ne sera d’aucun secours; seules de sauvegardes permettront de récupérer les données dans un état cohérent (éventuellement avec une perte sur les données les plus récentes) Confidentialité La confidentialité des données est garantie mais les personnes autorisées auront le droit d’accéder aux données en clair. Le chiffrement ne garantira pas l’accès aux données si l’identité d’une personne autorisée a été usurpée. Les mesures pour limiter les risques d’usurpation d’identité des personnes à pouvoir doivent être mises en œuvre parallèlement comme par exemple l’authentification multifacteur ou le renforcement des postes des administrateurs (comptes à pouvoir) Traçabilité L’audit des accès aux données chiffrées (et à l’utilisation des clés de chiffrement) reste nécessaire pour s’assurer que seules les personnes autorisées y accèdent
  • #27 Objectifs : Montrer quelles autres protections sont nécessaires au-delà du chiffrement Description Par rapport aux risques résiduels décrits précédemment, on illustre que les protections doivent être mises Au niveau des données elles-mêmes par le chiffrement mais également par des sauvegardes des données et des clés de chiffrement Au niveau de l’accès aux données : un contrôle d’accès rigoureux et audité est nécessaire pour garantir que seules les personnes autorisées y auront accès et être capable de détecter des comportements suspects pouvant indiquer une usurpation d’identité Enfin pour les appareils utilisés par les personnes à privilèges (par exemple les administrateurs chargés du contrôle d’accès ou de la gestion des clés), dont il est important de renforcer la sécurité.
  • #29 Azure Trust Center: https://azure.microsoft.com/en-us/support/trust-center/ We take seriously our commitment to safeguard our customers’ data, to protect their right to make decisions about that data, and to be transparent about what happens to that data. We are guided by a set of “Trusted Cloud Principles,” that articulate our vision of what enterprise organizations are entitled to expect from their cloud provider: Security: The confidentiality, integrity, and availability of your data is secured. Microsoft cloud services are designed, developed, and operated to help ensure that your data is secure. Privacy & Control: No one is able to use your data in a way that you do not approve. Microsoft prioritizes your data privacy; our commercial cloud customers own their data and we don’t use it to deliver targeted advertising Compliance: You can meet your regulatory obligations. This means we support you with certified compliance credentials, backed by third-party audits. Transparency: You understand how your data is being handled and used. This means we provide an appropriate level of transparency into security, privacy and compliance practices and actions to help protect your information.