Confiance numérique · 2017. 10. 16. · CosmosDB & Azure Data Lake Store –Chiffrement côté service. CosmosDB (via Document DB API) Toutes vos données sont chiffrées et sécurisées

Confiance numérique

#experiences17

experiences.microsoft.fr #experiences17

Arnaud Jumelet

Architecte Cloud & Sécurité

Microsoft France

@Arnaud_Jumelet

Daniel Pasquier

Architecte Cloud & Sécurité

Microsoft France

@Daniel_Pasquier

Microsoft experiences’17#experiences17

Agenda



10s PBsde logs par jour

900 millionscomptes utilisateursMicrosoft Azure AD

Attaques detectées:

>10,000localisations

d’attaques par jour

1.5 millionstentatives de

compromissionsdéjouéespar jour

450 milliardsde connections Azure

Active Directorypar mois


• Puissance du Cloud Microsoft Azure à travers plus de 100 centres de données et 36 régions à travers le monde

• Choix et contrôle de la localisation de données, ouverture prochaine de la zone géographique France

• Sécurité dès la conception mesures de sécurité physique et logique

• Leader sur la conformité avec les standards 27001/27018, PCI/DSS, ISAE 3402, CSA Star, Privacy Shield…


Certifications et audits

HIPAA /

HITECH Act

Moderate

JAB P-ATO

FIPS 140-2

FERPA

DoD DISA

SRG Level 2

ITAR CJIS

GxP

21 CFR Part 11

IRS 1075Section

508 VPAT

ISO 27001 SOC 1

Type 2

ISO 27018 CSA STAR

Self-Assessment

Singapore

MTCS

UK

G-Cloud

Australia

IRAP/CCSL

FISC

Japan

China

DJCP

New

Zealand

GCIO

China

GB 18030

EU

Model Clauses

ENISA

IAF

Argentina

PDPA

Japan CS

Mark Gold

SP 800-171

China

TRUCS

Spain

ENS

PCI DSS

Level 1

CDSA Shared

Assessments

MPAA

Japan

My

Number

Act

FACT

UK

High

JAB P-ATO

GLBA

DoD DISA

SRG Level 4

MARS-E FFIEC

ISO 27017 SOC 2

Type 2

SOC 3

India

MeitY

Canada

Privacy

Laws

Privacy

Shield

ISO 22301

Germany IT

Grundschutz

workbook

Spain

DPA

CSA STAR

Certification

CSA STAR

Attestation

HITRUST IG Toolkit

UK

GLO

BA

LET

AT

S-U

NIS

GO

UV

IND

US

TR

IES

RÉG

ION

AL

www.microsoft.com/fr-fr/trustcenter

aka.ms/servicetrust

http://www.asd.gov.au/infosec/irap/index.htm

https://www.fisc.or.jp/

http://www.microsoft.com/fr-fr/trustcenter

https://aka.ms/servicetrust


Agenda


▪ Le chiffrement au repos (@rest) indique que les données sont

protégées durant le stockage

Storage Secure Encryption, Azure Disk Encryption, SQL Transparent Data

Encryption, SQL Always Encrypted…

▪ Le chiffrement en transit permet de garantir la confidentialité des

données durant l’acheminement

“Secure Protocols Only”, HTTPS et support du chiffrement SMB v3 pour

l’accès au File Storage, ”Client Side Encryption”

▪ Le chiffrement pendant le traitement permet de garantir que les

données restent protégées pendant son utilisation au niveau applicatif

SQL Always Encrypted with secure enclave

Azure Confidential Computing

Chiffrement au repos, en transit et pendant le traitement


Chiffrement Cloud Chiffrement client

Clés gérées par

le service Cloud

Clés gérées par le client dans

Azure Key Vault (+BYOK)

Certains clients

souhaitent

davantage de

contrôle sur

leurs clés

(Ex: scénario

HYOK)

Clés gérées par le client avec

la solution de son choix

Chiffrement/Déchiffrement Chiffrement/Déchiffrement Chiffrement/Déchiffrement

Disponibilité/Agilité Disponibilité/Agilité Disponibilité/Agilité

Reprise après sinistre Reprise après sinistre Reprise après sinistre

Stockage des clés Stockage des clés Stockage des clés

HSM + Clés Racines HSM + Clés Racines HSM + Clés Racines

Surveillance Surveillance Surveillance

Cycle de vie des clés Cycle de vie des clés Cycle de vie des clés

Permissions sur les clés Permissions sur les clés Permissions sur les clés

Intérêts

Pas de garantie FIPS/HSM FIPS/HSM FIPS/HSM

Fonctionnalités Cloud

complètes

Fonctionnalités Cloud

complètesFonctionnalités Cloud

réduite

Agilité, Coûts réduits Agilité, Coûts réduits Complexité, Coûts


Un service Azure pour facilement

Adossé à un ensemble de modules de sécurité matériel (HSM)

…


Agenda


Stockage :

Machines virtuelles :

Bases de données :

Applications :

Chiffrement au repos

Stockage Azure


Le service chiffre automatiquement les données

Bénéfices• Les données sont chiffrées au repos à l'aide de la technologie de chiffrement standard de

l'industrie pour répondre aux exigences de sécurité et de conformité

• Pas de frais supplémentaires (dans le cas où les clés sont gérés par Microsoft)

• Pas d'impact sur les performances


• Exemples de code pour .NET, Java et Python, Bibliothèques client Windows et Linux

• Compatible avec le stockage Blob, Table et Queue

• Le service de stockage Azure ne voit jamais les clés ni les données non chiffrées

• Propose des options pour s’intégrer avec un système de gestion des clés à demeure ou bien avec Azure Key Vault

• Générez et gérez vos propres clés de chiffrement

• Utilisez les clés générées par la bibliothèque de code de votre application

• Utilisez Azure Key Vault pour générer et/ou stocker les clés.

• Utilisez Azure Information Protection pour chiffrer facilement les documents


Authentification et

Collaboration


Mitige le risque de vol de disque physique

Disponible pour les objets Blob, File, Table et Queue avec une gestion par défaut des clés par Microsoft

Clés de chiffrement gérées par le client - Preview

Chiffrement par défaut de tous les comptes de stockage - Fin 2017

Chiffrement

au repos

Chiffrement

en transit

Chiffrement

côté client

Les API REST utilisent HTTPS

Les jetons SAS peuvent être limités à l'usage de HTTPS

L'option "transfert sécurisé" limite les erreurs de configuration :

autorise uniquement HTTPS et interdit HTTP

Bibliothèque de code en C#, Java et Python avec le code

source

Chiffrement AES en mode CBC

Intégration optionnelle avec Azure Key Vault

Machines virtuelles (IaaS)


Ce que c’est :

Proposition de valeur :

Menaces adressées:


Azure Storage Services et Machines virtuelles – En synthèse

Caractéristiques Storage Service

Encryption

Azure Disk

Encryption

Client Side

Encryption

Partenaires

Niveau de

protection

Au repos Au repos et en transit Au repos et en transit Au repos et en transit

Où s’effectue les

opérations de

chiffrement /

déchiffrement

Côté serveur Côté serveur Côté client Côté serveur

Scénarios IaaS

adressés

Stockage et Machines

virtuelles

Machines virtuelles Stockage Machines virtuelles

Granularité de la

protection

Blob, Fichiers, Tables,

Queues

Disques virtuels OS

Disques virtuels de

données

Blob, Fichiers, Tables,

Queues

Disques virtuels OS

Disques virtuels de

données

Qui gère les clés ? Microsoft ou géré par le

client avec Azure Key

Vault

Géré par le client avec

Azure Key Vault

Géré par le client Dépend de la solution

Bases de données et Big Data


CosmosDB & Azure Data Lake Store – Chiffrement côté service

CosmosDB (via Document DB API)

▪ Toutes vos données sont chiffrées et

sécurisées par défaut de manière complète

et transparente

▪ Cosmos DB est conforme aux normes ISO

27001/27018, FedRAMP, HIPAA et PCI/DSS…

Azure Data Lake Store

▪ Toutes les données stockées dans le Data

Lake Store sont par défaut toujours chiffrées

avant leur stockage sur un support persistant


Chiffrement dans Azure Data Lake Store – Fonctionnement

1. Vérifier si la DEK pour le compte de

stockage Data Lake Store est en cache

sinon, récupérer la structure chiffrée de la

DEK et la déchiffrer via AKV,

2. Générer à partir de la DEK et du bloc de

données une BEK unique (AES-256) pour

chaque bloc de données,

3. Chiffrer le bloc de données avec la BEK

correspondante,

4. Stockez le bloc de données chiffré sur le

stockage persistant.

Pseudo algorithme lorsqu'un bloc de

données doit être chiffré


Chiffrement dans Azure Data Lake Store – Ex. de mise en place

Azure SQL et SQL Server


SQL Transparent Data Encryption - Chiffrement coté serveur

Protéger les données @rest

Evite que les données ne quittent les datacenters

non chiffrées. Protection additionelle en plus des

mécanismes forts de protection physique sur les

installations Cloud Microsoft.

Exigences de Conformité

Beaucoup de certifications de conformité exigent

des données chiffré au repos. TDE satisfait à ces

exigences en chiffrant les fichiers de base de

données, fichiers journaux et fichiers de sauvegarde.

▪ Chiffrement de la base de données, des sauvegardes, et fichiers de transaction au repos

▪ Activé par défaut pour toute nouvelle base Azure SQL

▪ Disponible Azure SQL DB/DW et SQL Server

2 options pour la gestion des clés :

▪ Géré par Microsoft pour la gestion automatique des clés

▪ BYOK avec Azure Key Vault (Preview) pour un contrôle client et une mise en conformité supplémentaire

NB: Un SQL Serveur « On Premises » avec TDE peut s’appuyer sur Azure Key Vault via un connecteur EKM (Extensible Key Management)


SQL Always Encrypted – Chiffrement côté client

Proposition de valeur

Gestion des clés


Aide à protéger les données au repos et en mouvement, local & Cloud

Client – Serveur Web et Client Web

Query

Environement

de Confiance

Apps

SELECT Name FROM

Patients WHERE SSN=@SSN

@SSN='198-33-0987'

Result Set

SELECT Name FROM

Patients WHERE SSN=@SSN

@SSN=0x7ff654ae6d

Composants

.NET 4.6+,

JDBC 6+,

ODBC 13.1+

ColumnMasterKey

Client side

ciphertext

Name

243-24-9812

SSN Country

Denny Usher 198-33-0987 USA

Alicia Hodge 123-82-1095 USA

Philip Wegner USA

dbo.Patients

SQL Server

dbo.Patients

Philip Wegner

Name SSN

USA

Denny Usher 0x7ff654ae6d USA

Alicia Hodge 0y8fj754ea2c USA

1x7fg655se2e

Country

Philip Wegner

Name

1x7fg655se2e

SSN

USA

Country

Denny Usher 0x7ff654ae6d USA

Alicia Hodge 0y8fj754ea2c USA

dbo.Patients

Result Set

Denny Usher

Name

0x7ff654ae6d

SSN

USA

Country

198-33-0987

Serveur SQL – On premises & Cloud

N’impact pas les performance de la « database » car l’opération

de déchiffrement se fait sur la partie cliente / applicatif

ColumnEncryption

Key


Options de chiffrement pour SQLCaractéristiques Always Encrypted Transparent Database

Encryption

Cell-level

Encryption

Client-side

Encryption

Niveau de protection Au repos, en transit, en

utilisation

Au repos Au repos Au repos, en transit,

en utilisation

Granularité de la

protection

Colonne Base de données Cellule Cellule

Le serveur peut-il voir

les données sensibles

en clair ?

Non Oui Oui Non

Où les clés sont

stockées ?

En dehors du serveur de

base de données

Sur le serveur de base

de données

Sur le serveur de

base de données

En fonction de

l’application

Opérations possible

sur les données

Comparaison de type

égalité

Toutes (après

déchiffrement en

mémoire)

Toutes (après

déchiffrement en

mémoire)

En fonction de

l’application

Effort de déploiement

et développement

Faible Aucun Haut Haut


Agenda


Enclave


▪ Pour Azure SQL et SQL Server (Prochainement)

▪ Les données sont toujours chiffrées – durant le stockage et leur utilisation

▪ Le chiffrement initial des données se fait au sein de l’enclave, plus besoin de

déplacer les données

▪ Participez au programme et testez : https://aka.ms/SQLEnclavesPreview

https://aka.ms/SQLEnclavesPreview


Support du chiffrement dans Azure – Vue globale des servicesModèles de Chiffrement au Repos (@Rest)

Chiffrement Cloud / Serveur Chiffrement Client

Services Clés au niveau serveur & gérées par le

service Cloud

Clés au niveau serveur & gérées par le Client

dans Azure Key Vault incluant aussi le BYOK

Clés au niveau Client gérées par le Client

On Premises ou via Azure Key Vault

Sto

ckag

e &

Base

de D

on

nées Disk (IaaS) NA

Disk (PaaS) Managed Disk avec SSE, par défaut depuis le 10 Juin 2017 Managed Disk avec Azure Disk Encryption.. NA

SQL (IaaS)

SQL (PaaS) Ltd Preview

Storage (Block/Page Blobs) Ltd Preview

Storage (Files, Tables, Queues) In-Preview

CosmosDB (Document DB)

StorSimple NA

Inte

llig

ence

&

An

aly

tics Azure Data Factory

Azure Machine Learning Ltd Preview

Azure Stream Analytics NA

HDInsights (Data Lake Storage)

Azure Data Lake Store

Azure Data Catalog

Power BI

IoT

IoT Hub

ServiceBus

Event Hubs

Supporté En cours Pas de plan immédiat Non applicable


100101100101011010 011010 100101100101011010 011010 100101100101011010 011010 100101100101011010 011010

Les autres domaines à couvrirLa protection des données nécessite une approche complète de bout-en-bout, sans oublier la détection des incidents et la réponse à incident

Contrôler l’accès

Protéger le poste d’administration

Chiffrer les donnéesProtéger les clés de chiffrement, sauvegarder les données

Revue des permissions, protection des identités, authentification forte,

Contrôle d’accès conditionnel, etc.

Renforcement de la sécurité de l’appareil, protection anti-malware,

contrôle de l’état de santé de l’appareil, .etc.


Conclusion

Azure est capable de s’adapter à vos exigences de sécurité

Le chiffrement au repos se généralise dans Azure et peut être

adossé à des boitiers cryptographiques

La possession de la clé maître ne garantit pas que le service

n’accède pas en clair aux données

Le chiffrement côté client masque les données au service mais

au détriment des fonctionnalités

La bataille ne se situe pas sur l’algorithme et la taille des clés !

Azure Confidential Computing inaugure une nouvelle ère

pour l’informatique digne de confiance

En conclusion : Réfléchissez bien à votre scénario business et

de quels risques vous voulez vous protéger avant de penser à

la solution technique

#experiences17

Doublez votre chance en répondant aussi au questionnaire de satisfaction globale !

* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle

Notez cette session sur experiences17.microsoft.frEt tentez de gagner une Surface Pro

Documents

Confiance numérique · 2017. 10. 16. · CosmosDB & Azure Data Lake Store –Chiffrement côté service. CosmosDB (via Document DB API) Toutes vos données sont chiffrées et sécurisées