Rejoignez-moi pour explorer Cloud Cryptography, ses types et le déploiement de Google Cloud.
Sous-ensemble de l’IaaS, le cloud computing est bien en avance sur la phase des mots à la mode. C’est une force dominante avec les particuliers, les entreprises et les gouvernements qui utilisent les services cloud pour réduire les tracas d’une pile technologique sur site.
Le cloud est la quintessence de la commodité, de l’économie et de l’évolutivité.
En termes simples, le cloud computing consiste à emprunter des ressources informatiques telles que le stockage, la RAM, le processeur, etc., sur Internet sans rien héberger physiquement.
Un exemple de la vie quotidienne est Google Drive ou Yahoo Mail. Nous confions à ces entreprises des données, parfois des informations personnelles ou professionnelles sensibles.
Généralement, un utilisateur moyen ne se soucie pas de la confidentialité ou de la sécurité du cloud computing. Mais toute personne décemment informée de l’historique de la surveillance ou des cyberattaques sophistiquées en cours doit lever la garde ou au moins être informée de la situation en cours.
Table des matières
Qu’est-ce que la cryptographie en nuage ?
La cryptographie cloud répond à ce sentiment d’insécurité en chiffrant les données stockées dans le cloud pour empêcher tout accès non autorisé.
Le cryptage est une technique consistant à utiliser un chiffrement (algorithme) pour convertir des informations standard en une version brouillée. Dans ce cas, l’attaquant ne comprendra pas les détails même s’ils sont exposés.
Il existe différents types de chiffrements en fonction du cas d’utilisation. Il est donc important d’utiliser un chiffrement de qualité pour le chiffrement des données dans le cloud.
Par exemple, pouvez-vous comprendre le texte suivant :
Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.
Non!
Cela pourrait être un casse-tête pour un cerveau humain, mais utilisez n’importe quel décodeur Caesar, et ils le démonteront en quelques secondes :
Même quelqu’un qui connaît bien le chiffrement de César peut voir que toutes les lettres du texte chiffré ont deux alphabets d’avance sur leurs homologues en clair.
Il s’agit donc d’utiliser un chiffrement fort, comme celui d’AES-256.
Comment fonctionne la cryptographie en nuage ?
Les dernières lignes de la section précédente pourraient avoir donné l’impression que vous choisirez un chiffrement pour chiffrer les données.
Techniquement, cela peut fonctionner comme ça. Mais normalement, le fournisseur de services cloud active le cryptage natif, ou vous utilisez le cryptage en tant que service d’un tiers.
Nous allons donc diviser cela en deux catégories et voir la mise en œuvre.
#1. Cryptage sur la plateforme Cloud
Il s’agit de la méthode la plus simple où le fournisseur de services cloud réputé s’occupe du cryptage.
Idéalement, cela s’applique à :
Données au repos
C’est à ce moment que les données sont stockées sous forme cryptée avant d’être transférées vers les conteneurs de stockage ou après.
Étant donné que la cryptographie dans le cloud est une nouvelle approche, il n’y a pas de manière prédéfinie de faire les choses. Il existe de nombreuses publications de recherche testant diverses méthodes, mais ce qui est crucial, c’est l’application dans la vie réelle.
Alors, comment une entreprise d’infrastructure cloud de premier ordre comme Google Cloud protège-t-elle les données au repos ?
Selon Les enregistrements de Google, ils divisent les données en petits groupes de quelques gigaoctets répartis dans leurs conteneurs de stockage sur différentes machines. Tout conteneur spécifique peut contenir des données d’utilisateurs identiques ou différents.
De plus, chaque paquet est crypté individuellement, même s’ils se trouvent dans le même conteneur et appartiennent à un seul utilisateur. Cela signifie que si la clé de chiffrement liée à un paquet est compromise, les autres fichiers resteront sécurisés.
Source : Google Cloud
De plus, la clé de cryptage est modifiée à chaque mise à jour des données.
Les données à ce niveau de stockage sont cryptées avec AES-256, à l’exception de quelques disques persistants créés avant 2015 à l’aide du cryptage AES-128 bits.
Il s’agit donc de la première couche de chiffrement, au niveau des paquets individuels.
Ensuite, les disques durs (HDD) ou les disques à semi-conducteurs (SSD) hébergeant ces blocs de données sont cryptés avec une autre couche de cryptage AES-256 bits, certains HHD hérités utilisant toujours AES-128. Veuillez noter que les clés de chiffrement au niveau de l’appareil sont différentes du chiffrement au niveau du stockage.
Désormais, toutes ces clés de chiffrement de données (DEK) sont encore chiffrées avec des clés de chiffrement de clé (KEK), qui sont ensuite gérées de manière centralisée par le service de gestion des clés (KMS) de Google. Notamment, toutes les KEK utilisent le cryptage AES-256/AES-128 bits, et au moins une KEK est associée à chaque service cloud de Google.
Ces clés KEK font l’objet d’une rotation au moins une fois tous les 90 jours à l’aide de la bibliothèque cryptographique commune de Google.
Chaque KEK est sauvegardé, suivi chaque fois que quelqu’un l’utilise et n’est accessible qu’au personnel autorisé.
Ensuite, toutes les KEK sont à nouveau cryptées avec un cryptage AES-256 bits générant la clé principale KMS stockée dans une autre installation de gestion de clés, appelée Root KMS, qui stocke une poignée de ces clés.
Ce Root KMS est géré sur des machines dédiées dans chaque centre de données Google Cloud.
Désormais, ce KMS racine est chiffré avec AES-256, créant une clé principale KMS racine unique stockée dans l’infrastructure peer-to-peer.
Une instance Root KMS s’exécute sur chaque distributeur de clé principale Root KMS détenant la clé dans la mémoire vive.
Chaque nouvelle instance du distributeur de clé principale KMS racine est approuvée par les instances déjà en cours d’exécution pour éviter tout jeu déloyal.
De plus, pour gérer la condition où toutes les instances du distributeur doivent démarrer simultanément, la clé principale KMS racine est également sauvegardée dans seulement deux emplacements physiques.
Et enfin, moins de 20 employés de Google ont accès à ces lieux hautement classifiés.
C’est ainsi que Google pratique la cryptographie dans le cloud pour les données au repos.
Mais si vous souhaitez prendre les choses en main, vous pouvez également gérer vous-même les clés. Alternativement, on peut ajouter une autre couche de cryptage par-dessus et gérer soi-même les clés. Cependant, il ne faut pas oublier que perdre ces clés signifie également être exclu de votre propre projet Web.
Pourtant, nous ne devrions pas nous attendre à ce niveau de détail de la part de tous les autres fournisseurs de cloud. Comme Google facture une prime pour ses services, vous pourriez bénéficier d’un fournisseur différent coûtant moins cher mais adapté à votre modèle de menace spécifique.
Données en transit
C’est là que les données voyagent dans le centre de données du fournisseur de cloud ou en dehors de ses limites, comme lorsque vous les téléchargez depuis votre propre machine.
Encore une fois, il n’existe aucun moyen strict de protéger les données en transit, nous verrons donc la mise en œuvre du cloud Google.
Le livre blanc à cet égard, chiffrement en transitindique trois mesures pour sécuriser les données non stationnaires : l’authentification, le chiffrement et le contrôle d’intégrité.
Au sein de son centre de données, Google sécurise les données en transit grâce à l’authentification des points de terminaison et à la confirmation de l’intégrité avec chiffrement facultatif.
Alors qu’un utilisateur peut opter pour des mesures supplémentaires, Google confirme une sécurité de premier ordre dans ses locaux avec un accès extrêmement surveillé accordé à quelques-uns de ses employés.
En dehors de ses limites physiques, Google adopte une politique différentielle pour ses propres services cloud (comme Google Drive) et toute application cliente hébergée sur son cloud (comme tout site web tournant sur son moteur de calcul).
Dans le premier cas, tout le trafic passe d’abord au point de contrôle connu sous le nom de Google Front End (GFE) à l’aide de Transport Layer Security (TLS). Par la suite, le trafic bénéficie d’une atténuation DDoS, d’un équilibrage de charge sur les serveurs et est finalement dirigé vers le service Google Cloud prévu.
Dans le second cas, la responsabilité d’assurer la sécurité des données en transit incombe principalement au propriétaire de l’infrastructure, à moins qu’il n’utilise pas un autre service Google (comme son Cloud VPN) pour le transfert de données.
Généralement, TLS est adopté pour s’assurer que les données n’ont pas été altérées en cours de route. Il s’agit du même protocole utilisé par défaut lorsque vous vous connectez à n’importe quel site Web en HTTPS, symbolisé par une icône de cadenas dans la barre d’URL.
Bien qu’il soit couramment utilisé dans tous les navigateurs Web, vous pouvez également l’appliquer à d’autres applications telles que le courrier électronique, les appels audio/vidéo, la messagerie instantanée, etc.
Cependant, pour les normes de cryptage ultimes, il existe des réseaux privés virtuels qui fournissent à nouveau plusieurs couches de sécurité avec des chiffrements de cryptage avancés tels que AES-256.
Mais la mise en œuvre de la cryptographie cloud par vous-même est difficile, ce qui nous amène à…
#2. Chiffrement en tant que service
C’est là que les protocoles de sécurité par défaut de votre plate-forme cloud sont faibles ou absents pour des cas d’utilisation spécifiques.
L’une des meilleures solutions est évidemment de tout superviser vous-même et d’assurer la sécurité des données de niveau entreprise. Mais c’est plus facile à dire qu’à faire et enlève l’approche sans tracas pour laquelle quelqu’un opte pour le cloud computing.
Cela nous laisse donc utiliser Encryption-as-a-service (EAAS) tel que CloudHesive. Semblable à l’utilisation du cloud computing, cette fois, vous « empruntez » le cryptage et non le processeur, la RAM, le stockage, etc.
Basé sur le fournisseur EAAS, vous pouvez utiliser le chiffrement pour les données au repos et en transit.
Avantages et inconvénients de la cryptographie cloud
L’avantage le plus prononcé est la sécurité. La pratique de la cryptographie dans le cloud garantit que les données de vos utilisateurs restent à l’écart des cybercriminels.
Bien que la cryptographie en nuage ne puisse pas arrêter chaque piratage, il s’agit de faire votre part et d’avoir une justification appropriée si les choses tournent mal.
En ce qui concerne les inconvénients, le premier est le coût et le temps nécessaires pour mettre à niveau le cadre de sécurité existant. De plus, rien ne peut vous aider si vous perdez l’accès aux clés de chiffrement pendant l’autogestion.
Et comme il s’agit d’une technologie naissante, trouver un EAAS éprouvé n’est pas facile non plus.
En conclusion, le mieux est d’utiliser un fournisseur de services cloud réputé et de miser sur des mécanismes cryptographiques natifs.
Emballer
Nous espérons que cela pourra vous donner un aperçu de la cryptographie dans le cloud. Pour résumer, il s’agit de la sécurité des données liées au cloud, y compris lorsqu’elles voyagent à l’extérieur.
La plupart des entreprises d’infrastructure cloud les mieux notées comme Google Cloud, Amazon Web Services, etc., disposent d’une sécurité adéquate pour les cas d’utilisation maximum. Pourtant, il n’y a aucun mal à passer par le jargon technique avant d’héberger vos applications critiques avec qui que ce soit.
PS : Découvrez quelques solutions d’optimisation des coûts du cloud pour AWS, Google Cloud, Azure, etc.