Encryption « at rest »

[:fr]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

Les motivations sont multiples:

• Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
• Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
• Compliance (par exemple PCI)
• Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

• Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
• Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

• Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
• L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
• Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
• L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

[:en]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

Les motivations sont multiples:

• Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
• Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
• Compliance (par exemple PCI)
• Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

• Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
• Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

• Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
• L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
• Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
• L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

[:]