Confiance numérique · 2017. 10. 16. · CosmosDB & Azure Data Lake Store –Chiffrement côté...
Transcript of Confiance numérique · 2017. 10. 16. · CosmosDB & Azure Data Lake Store –Chiffrement côté...
Confiance numérique
#experiences17
experiences.microsoft.fr #experiences17
Arnaud Jumelet
Architecte Cloud & Sécurité
Microsoft France
@Arnaud_Jumelet
Daniel Pasquier
Architecte Cloud & Sécurité
Microsoft France
@Daniel_Pasquier
Microsoft experiences’17#experiences17
Agenda
Microsoft experiences’17#experiences17
Microsoft experiences’17#experiences17
10s PBsde logs par jour
900 millionscomptes utilisateursMicrosoft Azure AD
Attaques detectées:
>10,000localisations
d’attaques par jour
1.5 millionstentatives de
compromissionsdéjouéespar jour
450 milliardsde connections Azure
Active Directorypar mois
Microsoft experiences’17#experiences17
• Puissance du Cloud Microsoft Azure à travers plus de 100 centres de données et 36 régions à travers le monde
• Choix et contrôle de la localisation de données, ouverture prochaine de la zone géographique France
• Sécurité dès la conception mesures de sécurité physique et logique
• Leader sur la conformité avec les standards 27001/27018, PCI/DSS, ISAE 3402, CSA Star, Privacy Shield…
Microsoft experiences’17#experiences17
Certifications et audits
HIPAA /
HITECH Act
Moderate
JAB P-ATO
FIPS 140-2
FERPA
DoD DISA
SRG Level 2
ITAR CJIS
GxP
21 CFR Part 11
IRS 1075Section
508 VPAT
ISO 27001 SOC 1
Type 2
ISO 27018 CSA STAR
Self-Assessment
Singapore
MTCS
UK
G-Cloud
Australia
IRAP/CCSL
FISC
Japan
China
DJCP
New
Zealand
GCIO
China
GB 18030
EU
Model Clauses
ENISA
IAF
Argentina
PDPA
Japan CS
Mark Gold
SP 800-171
China
TRUCS
Spain
ENS
PCI DSS
Level 1
CDSA Shared
Assessments
MPAA
Japan
My
Number
Act
FACT
UK
High
JAB P-ATO
GLBA
DoD DISA
SRG Level 4
MARS-E FFIEC
ISO 27017 SOC 2
Type 2
SOC 3
India
MeitY
Canada
Privacy
Laws
Privacy
Shield
ISO 22301
Germany IT
Grundschutz
workbook
Spain
DPA
CSA STAR
Certification
CSA STAR
Attestation
HITRUST IG Toolkit
UK
GLO
BA
LET
AT
S-U
NIS
GO
UV
IND
US
TR
IES
RÉG
ION
AL
www.microsoft.com/fr-fr/trustcenter
aka.ms/servicetrust
Microsoft experiences’17#experiences17
Agenda
Microsoft experiences’17#experiences17
▪ Le chiffrement au repos (@rest) indique que les données sont
protégées durant le stockage
Storage Secure Encryption, Azure Disk Encryption, SQL Transparent Data
Encryption, SQL Always Encrypted…
▪ Le chiffrement en transit permet de garantir la confidentialité des
données durant l’acheminement
“Secure Protocols Only”, HTTPS et support du chiffrement SMB v3 pour
l’accès au File Storage, ”Client Side Encryption”
▪ Le chiffrement pendant le traitement permet de garantir que les
données restent protégées pendant son utilisation au niveau applicatif
SQL Always Encrypted with secure enclave
Azure Confidential Computing
Chiffrement au repos, en transit et pendant le traitement
Microsoft experiences’17#experiences17
Chiffrement Cloud Chiffrement client
Clés gérées par
le service Cloud
Clés gérées par le client dans
Azure Key Vault (+BYOK)
Certains clients
souhaitent
davantage de
contrôle sur
leurs clés
(Ex: scénario
HYOK)
Clés gérées par le client avec
la solution de son choix
Chiffrement/Déchiffrement Chiffrement/Déchiffrement Chiffrement/Déchiffrement
Disponibilité/Agilité Disponibilité/Agilité Disponibilité/Agilité
Reprise après sinistre Reprise après sinistre Reprise après sinistre
Stockage des clés Stockage des clés Stockage des clés
HSM + Clés Racines HSM + Clés Racines HSM + Clés Racines
Surveillance Surveillance Surveillance
Cycle de vie des clés Cycle de vie des clés Cycle de vie des clés
Permissions sur les clés Permissions sur les clés Permissions sur les clés
Intérêts
Pas de garantie FIPS/HSM FIPS/HSM FIPS/HSM
Fonctionnalités Cloud
complètes
Fonctionnalités Cloud
complètesFonctionnalités Cloud
réduite
Agilité, Coûts réduits Agilité, Coûts réduits Complexité, Coûts
Microsoft experiences’17#experiences17
Un service Azure pour facilement
Adossé à un ensemble de modules de sécurité matériel (HSM)
…
Microsoft experiences’17#experiences17
Agenda
Microsoft experiences’17#experiences17
Stockage :
Machines virtuelles :
Bases de données :
Applications :
Chiffrement au repos
Stockage Azure
Microsoft experiences’17#experiences17
Le service chiffre automatiquement les données
Bénéfices• Les données sont chiffrées au repos à l'aide de la technologie de chiffrement standard de
l'industrie pour répondre aux exigences de sécurité et de conformité
• Pas de frais supplémentaires (dans le cas où les clés sont gérés par Microsoft)
• Pas d'impact sur les performances
Microsoft experiences’17#experiences17
• Exemples de code pour .NET, Java et Python, Bibliothèques client Windows et Linux
• Compatible avec le stockage Blob, Table et Queue
• Le service de stockage Azure ne voit jamais les clés ni les données non chiffrées
• Propose des options pour s’intégrer avec un système de gestion des clés à demeure ou bien avec Azure Key Vault
• Générez et gérez vos propres clés de chiffrement
• Utilisez les clés générées par la bibliothèque de code de votre application
• Utilisez Azure Key Vault pour générer et/ou stocker les clés.
• Utilisez Azure Information Protection pour chiffrer facilement les documents
Microsoft experiences’17#experiences17
Authentification et
Collaboration
Microsoft experiences’17#experiences17
Mitige le risque de vol de disque physique
Disponible pour les objets Blob, File, Table et Queue avec une gestion par défaut des clés par Microsoft
Clés de chiffrement gérées par le client - Preview
Chiffrement par défaut de tous les comptes de stockage - Fin 2017
Chiffrement
au repos
Chiffrement
en transit
Chiffrement
côté client
Les API REST utilisent HTTPS
Les jetons SAS peuvent être limités à l'usage de HTTPS
L'option "transfert sécurisé" limite les erreurs de configuration :
autorise uniquement HTTPS et interdit HTTP
Bibliothèque de code en C#, Java et Python avec le code
source
Chiffrement AES en mode CBC
Intégration optionnelle avec Azure Key Vault
Machines virtuelles (IaaS)
Microsoft experiences’17#experiences17
Ce que c’est :
Proposition de valeur :
Menaces adressées:
Microsoft experiences’17#experiences17
Azure Storage Services et Machines virtuelles – En synthèse
Caractéristiques Storage Service
Encryption
Azure Disk
Encryption
Client Side
Encryption
Partenaires
Niveau de
protection
Au repos Au repos et en transit Au repos et en transit Au repos et en transit
Où s’effectue les
opérations de
chiffrement /
déchiffrement
Côté serveur Côté serveur Côté client Côté serveur
Scénarios IaaS
adressés
Stockage et Machines
virtuelles
Machines virtuelles Stockage Machines virtuelles
Granularité de la
protection
Blob, Fichiers, Tables,
Queues
Disques virtuels OS
Disques virtuels de
données
Blob, Fichiers, Tables,
Queues
Disques virtuels OS
Disques virtuels de
données
Qui gère les clés ? Microsoft ou géré par le
client avec Azure Key
Vault
Géré par le client avec
Azure Key Vault
Géré par le client Dépend de la solution
Bases de données et Big Data
Microsoft experiences’17#experiences17
CosmosDB & Azure Data Lake Store – Chiffrement côté service
CosmosDB (via Document DB API)
▪ Toutes vos données sont chiffrées et
sécurisées par défaut de manière complète
et transparente
▪ Cosmos DB est conforme aux normes ISO
27001/27018, FedRAMP, HIPAA et PCI/DSS…
Azure Data Lake Store
▪ Toutes les données stockées dans le Data
Lake Store sont par défaut toujours chiffrées
avant leur stockage sur un support persistant
Microsoft experiences’17#experiences17
Chiffrement dans Azure Data Lake Store – Fonctionnement
1. Vérifier si la DEK pour le compte de
stockage Data Lake Store est en cache
sinon, récupérer la structure chiffrée de la
DEK et la déchiffrer via AKV,
2. Générer à partir de la DEK et du bloc de
données une BEK unique (AES-256) pour
chaque bloc de données,
3. Chiffrer le bloc de données avec la BEK
correspondante,
4. Stockez le bloc de données chiffré sur le
stockage persistant.
Pseudo algorithme lorsqu'un bloc de
données doit être chiffré
Microsoft experiences’17#experiences17
Chiffrement dans Azure Data Lake Store – Ex. de mise en place
Azure SQL et SQL Server
Microsoft experiences’17#experiences17
SQL Transparent Data Encryption - Chiffrement coté serveur
Protéger les données @rest
Evite que les données ne quittent les datacenters
non chiffrées. Protection additionelle en plus des
mécanismes forts de protection physique sur les
installations Cloud Microsoft.
Exigences de Conformité
Beaucoup de certifications de conformité exigent
des données chiffré au repos. TDE satisfait à ces
exigences en chiffrant les fichiers de base de
données, fichiers journaux et fichiers de sauvegarde.
▪ Chiffrement de la base de données, des sauvegardes, et fichiers de transaction au repos
▪ Activé par défaut pour toute nouvelle base Azure SQL
▪ Disponible Azure SQL DB/DW et SQL Server
2 options pour la gestion des clés :
▪ Géré par Microsoft pour la gestion automatique des clés
▪ BYOK avec Azure Key Vault (Preview) pour un contrôle client et une mise en conformité supplémentaire
NB: Un SQL Serveur « On Premises » avec TDE peut s’appuyer sur Azure Key Vault via un connecteur EKM (Extensible Key Management)
Microsoft experiences’17#experiences17
SQL Always Encrypted – Chiffrement côté client
Proposition de valeur
Gestion des clés
Microsoft experiences’17#experiences17
Aide à protéger les données au repos et en mouvement, local & Cloud
Client – Serveur Web et Client Web
Query
Environement
de Confiance
Apps
SELECT Name FROM
Patients WHERE SSN=@SSN
@SSN='198-33-0987'
Result Set
SELECT Name FROM
Patients WHERE SSN=@SSN
@SSN=0x7ff654ae6d
Composants
.NET 4.6+,
JDBC 6+,
ODBC 13.1+
ColumnMasterKey
Client side
ciphertext
Name
243-24-9812
SSN Country
Denny Usher 198-33-0987 USA
Alicia Hodge 123-82-1095 USA
Philip Wegner USA
dbo.Patients
SQL Server
dbo.Patients
Philip Wegner
Name SSN
USA
Denny Usher 0x7ff654ae6d USA
Alicia Hodge 0y8fj754ea2c USA
1x7fg655se2e
Country
Philip Wegner
Name
1x7fg655se2e
SSN
USA
Country
Denny Usher 0x7ff654ae6d USA
Alicia Hodge 0y8fj754ea2c USA
dbo.Patients
Result Set
Denny Usher
Name
0x7ff654ae6d
SSN
USA
Country
198-33-0987
Serveur SQL – On premises & Cloud
N’impact pas les performance de la « database » car l’opération
de déchiffrement se fait sur la partie cliente / applicatif
ColumnEncryption
Key
Microsoft experiences’17#experiences17
Options de chiffrement pour SQLCaractéristiques Always Encrypted Transparent Database
Encryption
Cell-level
Encryption
Client-side
Encryption
Niveau de protection Au repos, en transit, en
utilisation
Au repos Au repos Au repos, en transit,
en utilisation
Granularité de la
protection
Colonne Base de données Cellule Cellule
Le serveur peut-il voir
les données sensibles
en clair ?
Non Oui Oui Non
Où les clés sont
stockées ?
En dehors du serveur de
base de données
Sur le serveur de base
de données
Sur le serveur de
base de données
En fonction de
l’application
Opérations possible
sur les données
Comparaison de type
égalité
Toutes (après
déchiffrement en
mémoire)
Toutes (après
déchiffrement en
mémoire)
En fonction de
l’application
Effort de déploiement
et développement
Faible Aucun Haut Haut
Microsoft experiences’17#experiences17
Agenda
Microsoft experiences’17#experiences17
Enclave
Microsoft experiences’17#experiences17
▪ Pour Azure SQL et SQL Server (Prochainement)
▪ Les données sont toujours chiffrées – durant le stockage et leur utilisation
▪ Le chiffrement initial des données se fait au sein de l’enclave, plus besoin de
déplacer les données
▪ Participez au programme et testez : https://aka.ms/SQLEnclavesPreview
Microsoft experiences’17#experiences17
Support du chiffrement dans Azure – Vue globale des servicesModèles de Chiffrement au Repos (@Rest)
Chiffrement Cloud / Serveur Chiffrement Client
Services Clés au niveau serveur & gérées par le
service Cloud
Clés au niveau serveur & gérées par le Client
dans Azure Key Vault incluant aussi le BYOK
Clés au niveau Client gérées par le Client
On Premises ou via Azure Key Vault
Sto
ckag
e &
Base
de D
on
nées Disk (IaaS) NA
Disk (PaaS) Managed Disk avec SSE, par défaut depuis le 10 Juin 2017 Managed Disk avec Azure Disk Encryption.. NA
SQL (IaaS)
SQL (PaaS) Ltd Preview
Storage (Block/Page Blobs) Ltd Preview
Storage (Files, Tables, Queues) In-Preview
CosmosDB (Document DB)
StorSimple NA
Inte
llig
ence
&
An
aly
tics Azure Data Factory
Azure Machine Learning Ltd Preview
Azure Stream Analytics NA
HDInsights (Data Lake Storage)
Azure Data Lake Store
Azure Data Catalog
Power BI
IoT
IoT Hub
ServiceBus
Event Hubs
Supporté En cours Pas de plan immédiat Non applicable
Microsoft experiences’17#experiences17
100101100101011010 011010 100101100101011010 011010 100101100101011010 011010 100101100101011010 011010
Les autres domaines à couvrirLa protection des données nécessite une approche complète de bout-en-bout, sans oublier la détection des incidents et la réponse à incident
Contrôler l’accès
Protéger le poste d’administration
Chiffrer les donnéesProtéger les clés de chiffrement, sauvegarder les données
Revue des permissions, protection des identités, authentification forte,
Contrôle d’accès conditionnel, etc.
Renforcement de la sécurité de l’appareil, protection anti-malware,
contrôle de l’état de santé de l’appareil, .etc.
Microsoft experiences’17#experiences17
Conclusion
Azure est capable de s’adapter à vos exigences de sécurité
Le chiffrement au repos se généralise dans Azure et peut être
adossé à des boitiers cryptographiques
La possession de la clé maître ne garantit pas que le service
n’accède pas en clair aux données
Le chiffrement côté client masque les données au service mais
au détriment des fonctionnalités
La bataille ne se situe pas sur l’algorithme et la taille des clés !
Azure Confidential Computing inaugure une nouvelle ère
pour l’informatique digne de confiance
En conclusion : Réfléchissez bien à votre scénario business et
de quels risques vous voulez vous protéger avant de penser à
la solution technique
#experiences17
Doublez votre chance en répondant aussi au questionnaire de satisfaction globale !
* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle
Notez cette session sur experiences17.microsoft.frEt tentez de gagner une Surface Pro