Partons ensemble à la découverte de la cryptographie dans le nuage, ses différentes formes et son implémentation au sein de Google Cloud.
Le cloud computing, un sous-ensemble de l’IaaS, a largement dépassé le simple effet de mode. Il est devenu une force majeure, utilisée par les particuliers, les entreprises et les gouvernements pour simplifier la gestion d’une infrastructure technologique locale.
Le cloud incarne la commodité, la rentabilité et la scalabilité à son paroxysme.
En termes simples, le cloud computing consiste à utiliser des ressources informatiques, telles que le stockage, la mémoire vive, le processeur, via Internet, sans nécessiter d’hébergement physique.
Un exemple concret est l’utilisation de Google Drive ou de Yahoo Mail. Nous confions à ces entreprises des données, parfois sensibles, qu’elles soient personnelles ou professionnelles.
Un utilisateur lambda ne se préoccupe généralement pas de la confidentialité ou de la sécurité liées au cloud computing. Cependant, toute personne consciente de l’historique de la surveillance ou des cyberattaques sophistiquées doit rester vigilante et s’informer sur la situation actuelle.
Qu’est-ce que la cryptographie dans le nuage ?
La cryptographie dans le nuage répond à ce besoin de sécurité en chiffrant les données stockées dans le cloud, empêchant ainsi tout accès non autorisé.
Le chiffrement est une technique qui consiste à utiliser un algorithme pour transformer des informations ordinaires en une version illisible. De cette manière, même si un attaquant venait à intercepter les données, il ne pourrait pas en déchiffrer le contenu.
Il existe plusieurs types de chiffrement, chacun adapté à un usage spécifique. Il est donc essentiel d’utiliser un chiffrement de haute qualité pour protéger les données dans le cloud.
Par exemple, pouvez-vous comprendre le texte suivant :
Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.
Non !
Cela pourrait sembler un casse-tête pour un esprit humain, mais avec n’importe quel décodeur César, il sera déchiffré en quelques secondes :
Même une personne familière avec le chiffrement de César remarquera que chaque lettre du texte chiffré a été décalée de deux positions dans l’alphabet par rapport à son équivalent en clair.
Il est donc crucial d’utiliser un chiffrement robuste, tel que l’AES-256.
Comment fonctionne la cryptographie dans le nuage ?
Les dernières lignes du paragraphe précédent pourraient laisser penser que le choix du chiffrement est la seule étape à effectuer pour sécuriser les données.
Techniquement, cela peut fonctionner ainsi. Cependant, dans la pratique, le fournisseur de services cloud active généralement un chiffrement natif, ou vous utilisez un service de chiffrement tiers.
Nous allons donc examiner ces deux approches et leur mise en œuvre.
#1. Chiffrement intégré à la plateforme Cloud
Il s’agit de la méthode la plus simple, où un fournisseur de services cloud reconnu se charge du chiffrement.
Idéalement, cette méthode s’applique aux :
Données au repos
Il s’agit du moment où les données sont stockées sous forme chiffrée, avant ou après leur transfert vers les conteneurs de stockage.
La cryptographie dans le cloud étant une approche relativement nouvelle, il n’existe pas de méthode unique et universelle. De nombreuses études de recherche testent différentes techniques, mais l’application dans le monde réel est primordiale.
Alors, comment une entreprise d’infrastructure cloud de premier plan comme Google Cloud protège-t-elle les données au repos ?
Selon les informations de Google, les données sont divisées en petits groupes de quelques gigaoctets, répartis dans leurs conteneurs de stockage sur différentes machines. Un conteneur spécifique peut contenir des données d’utilisateurs identiques ou différents.
De plus, chaque paquet est chiffré individuellement, même s’ils se trouvent dans le même conteneur et appartiennent au même utilisateur. Cela signifie que si la clé de chiffrement associée à un paquet est compromise, les autres fichiers resteront sécurisés.
Source : Google Cloud
Par ailleurs, la clé de chiffrement est modifiée à chaque mise à jour des données.
À ce niveau de stockage, les données sont chiffrées avec AES-256, à l’exception de certains disques persistants créés avant 2015 qui utilisent le chiffrement AES-128 bits.
Il s’agit donc du premier niveau de chiffrement, au niveau des paquets individuels.
Ensuite, les disques durs (HDD) ou les disques à semi-conducteurs (SSD) qui hébergent ces blocs de données sont chiffrés avec une autre couche de chiffrement AES-256 bits, certains HDD plus anciens utilisant encore AES-128. Il est important de noter que les clés de chiffrement au niveau de l’appareil sont différentes du chiffrement au niveau du stockage.
Désormais, toutes ces clés de chiffrement de données (DEK) sont à nouveau chiffrées avec des clés de chiffrement de clé (KEK), qui sont ensuite gérées de manière centralisée par le service de gestion des clés (KMS) de Google. Notamment, toutes les KEK utilisent le chiffrement AES-256/AES-128 bits, et au moins une KEK est associée à chaque service cloud de Google.
Ces clés KEK sont renouvelées au moins tous les 90 jours à l’aide de la bibliothèque cryptographique commune de Google.
Chaque KEK est sauvegardée, suivie à chaque utilisation et n’est accessible qu’au personnel autorisé.
Ensuite, toutes les KEK sont à nouveau chiffrées avec un chiffrement AES-256 bits, générant la clé principale KMS, stockée dans une autre installation de gestion de clés, appelée Root KMS, qui conserve un nombre limité de ces clés.
Ce Root KMS est géré sur des machines dédiées dans chaque centre de données Google Cloud.
Désormais, ce KMS racine est chiffré avec AES-256, créant une clé principale KMS racine unique, stockée dans une infrastructure peer-to-peer.
Une instance Root KMS s’exécute sur chaque distributeur de clé principale Root KMS, détenant la clé en mémoire vive.
Chaque nouvelle instance du distributeur de clé principale KMS racine est approuvée par les instances déjà en cours d’exécution, afin d’éviter toute manipulation.
De plus, pour gérer la situation où toutes les instances du distributeur doivent démarrer simultanément, la clé principale KMS racine est également sauvegardée dans seulement deux emplacements physiques.
Enfin, moins de 20 employés de Google ont accès à ces lieux hautement confidentiels.
C’est ainsi que Google applique la cryptographie dans le cloud pour les données au repos.
Cependant, si vous souhaitez avoir un contrôle total, vous pouvez également gérer vous-même les clés. Il est également possible d’ajouter une couche de chiffrement supplémentaire et de gérer les clés de manière autonome. Néanmoins, il est essentiel de se rappeler que la perte de ces clés signifie également la perte d’accès à votre propre projet Web.
Il ne faut toutefois pas s’attendre à un tel niveau de détail de la part de tous les fournisseurs de cloud. Google facture un prix élevé pour ses services, vous pourriez donc bénéficier d’un fournisseur différent, moins coûteux, mais adapté à votre modèle de menaces spécifique.
Données en transit
Il s’agit du moment où les données circulent au sein du centre de données du fournisseur de cloud ou en dehors de ses limites, par exemple lorsque vous les téléchargez depuis votre propre machine.
Là encore, il n’existe pas de méthode unique et stricte pour protéger les données en transit. Nous allons donc examiner la mise en œuvre par Google Cloud.
Le livre blanc sur le sujet, le chiffrement en transit, met en avant trois mesures pour sécuriser les données non stationnaires : l’authentification, le chiffrement et le contrôle d’intégrité.
Au sein de son centre de données, Google sécurise les données en transit en authentifiant les points de terminaison et en confirmant l’intégrité, avec un chiffrement facultatif.
Bien qu’un utilisateur puisse opter pour des mesures supplémentaires, Google assure une sécurité de premier ordre dans ses locaux, avec un accès extrêmement contrôlé accordé à un nombre limité de ses employés.
En dehors de ses limites physiques, Google adopte une politique différente pour ses propres services cloud (comme Google Drive) et pour toute application cliente hébergée sur son cloud (comme tout site Web exécuté sur son moteur de calcul).
Dans le premier cas, tout le trafic passe d’abord par le point de contrôle appelé Google Front End (GFE) en utilisant le protocole TLS (Transport Layer Security). Ensuite, le trafic est protégé par une atténuation DDoS, un équilibrage de charge sur les serveurs et est finalement acheminé vers le service Google Cloud prévu.
Dans le second cas, la responsabilité de la sécurité des données en transit incombe principalement au propriétaire de l’infrastructure, à moins qu’il n’utilise un autre service Google (comme son Cloud VPN) pour le transfert de données.
Généralement, TLS est adopté pour s’assurer que les données n’ont pas été altérées pendant le transfert. C’est le même protocole qui est utilisé par défaut lorsque vous vous connectez à un site Web en HTTPS, symbolisé par une icône de cadenas dans la barre d’URL.
Bien qu’il soit couramment utilisé dans tous les navigateurs Web, vous pouvez également l’appliquer à d’autres applications telles que la messagerie électronique, les appels audio/vidéo, la messagerie instantanée, etc.
Cependant, pour atteindre des normes de cryptage maximales, il existe des réseaux privés virtuels qui fournissent plusieurs niveaux de sécurité supplémentaires, avec des chiffrements avancés tels qu’AES-256.
Mais mettre en œuvre la cryptographie cloud par soi-même est complexe, ce qui nous amène à…
#2. Chiffrement en tant que service
C’est l’option à envisager lorsque les protocoles de sécurité par défaut de votre plateforme cloud sont faibles ou absents pour des cas d’utilisation spécifiques.
L’une des meilleures solutions est évidemment de tout superviser vous-même et d’assurer la sécurité des données au niveau de l’entreprise. Mais c’est plus facile à dire qu’à faire et cela annule l’approche simplifiée pour laquelle une personne opte généralement pour le cloud computing.
Cela nous laisse donc la possibilité d’utiliser l’Encryption-as-a-Service (EAAS), comme celui proposé par CloudHesive. Comme pour le cloud computing, vous « empruntez » cette fois le chiffrement au lieu du processeur, de la RAM, du stockage, etc.
Selon le fournisseur EAAS, vous pouvez utiliser le chiffrement pour les données au repos et en transit.
Avantages et inconvénients de la cryptographie dans le cloud
L’avantage le plus notable est la sécurité. La mise en œuvre de la cryptographie dans le cloud garantit que les données de vos utilisateurs restent protégées des cybercriminels.
Bien que la cryptographie dans le cloud ne puisse pas arrêter toutes les tentatives de piratage, elle permet de faire sa part et d’avoir une justification solide en cas de problème.
En ce qui concerne les inconvénients, le premier est le coût et le temps nécessaires pour mettre à niveau le cadre de sécurité existant. De plus, vous ne pouvez rien faire si vous perdez l’accès aux clés de chiffrement lors de l’autogestion.
De plus, comme il s’agit d’une technologie en développement, il n’est pas facile de trouver un fournisseur EAAS éprouvé.
En conclusion, la meilleure option est d’utiliser un fournisseur de services cloud réputé et de faire confiance aux mécanismes cryptographiques natifs.
En résumé
Nous espérons que cet article vous a éclairé sur la cryptographie dans le cloud. En résumé, il s’agit de la sécurité des données liées au cloud, y compris lorsqu’elles sont transmises à l’extérieur.
La plupart des entreprises d’infrastructure cloud les plus reconnues, telles que Google Cloud, Amazon Web Services, etc., offrent une sécurité adéquate pour la majorité des cas d’utilisation. Cependant, il est toujours judicieux de comprendre les détails techniques avant d’héberger vos applications critiques avec un fournisseur.
PS : Consultez nos solutions d’optimisation des coûts du cloud pour AWS, Google Cloud, Azure, etc.