Concevoir une solution pour gérer les secrets, les clés et les certificats
Dans Azure, les clés de chiffrement peuvent être gérées par la plateforme ou gérées par le client.
Les clés gérées par la plateforme (PMK) sont des clés de chiffrement qui sont générées, stockées et gérées entièrement par Azure. Les clients n’interagissent pas avec les PMK. Les clés utilisées pour Chiffrement des données au repos Azure, par exemple, sont des PMK par défaut.
Les clés gérées par le client (CMK), en revanche, sont celles qui peuvent être lues, créées, supprimées, mises à jour ou gérées par un ou plusieurs clients. Les clés stockées dans un coffre de clés ou un module de sécurité matériel (HSM) appartenant au client sont des CMK. Bring Your Own Key (BYOK) est un scénario CMK dans lequel un client importe (apporte) des clés d’un emplacement de stockage extérieur dans un service de gestion de clés Azure (voir Azure Key Vault : Spécification Bring Your Own Key).
Un type spécifique de clé gérée par le client est la « clé de chiffrement de clé » (KEK). Une KEK est une clé primaire, qui contrôle l’accès à une ou plusieurs clés de chiffrement qui sont elles-mêmes chiffrées.
Les clés gérées par le client peuvent être stockées localement ou, plus communément, dans un service de gestion des clés dans le cloud.
Services de gestion des clés Azure
Azure propose plusieurs options pour le stockage et la gestion de vos clés dans le cloud, notamment Azure Key Vault, Azure Managed HSM, Dedicated HSM et Payments HSM. Ces options diffèrent en termes de niveau de conformité aux normes FIPS (Federal Information Processing Standard), de frais de gestion et d’applications prévues.
Azure Key Vault (niveau standard) : Service de gestion des clés dans le cloud multilocataire certifié FIPS 140-2 de niveau 1 qui peut également être utilisé pour stocker des secrets et des certificats. Les clés stockées dans Azure Key Vault sont protégées par logiciel et peuvent être utilisées pour le chiffrement au repos et les applications personnalisées. Key Vault fournit une API moderne et le plus grand nombre de déploiements régionaux et d’intégrations avec les services Azure. Pour plus d’informations, consultez À propos d’Azure Key Vault.
Azure Key Vault (niveau premium) : Offre de HSM multilocataire certifiée FIPS 140-2 de niveau 2 qui peut être utilisée pour stocker des clés dans une limite matérielle sécurisée. Microsoft gère et exploite le HSM sous-jacent, et les clés stockées dans Azure Key Vault Premium peuvent être utilisées pour le chiffrement au repos et les applications personnalisées. Key Vault Premium fournit également une API moderne et le plus grand nombre de déploiements régionaux et d’intégrations avec les services Azure. Pour plus d’informations, consultez À propos d’Azure Key Vault.
Azure Managed HSM : Offre de HSM monolocataire certifiée FIPS 140-2 de niveau 3 qui donne aux clients le contrôle total d’un module HSM pour le chiffrement au repos, le protocole SSL sans clé et les applications personnalisées. Les clients reçoivent un pool de trois partitions HSM, qui fait office d’appliance HSM logique à haut niveau de disponibilité, et un service frontal qui expose la fonctionnalité de chiffrement via l’API Key Vault. Microsoft s’occupe de l’approvisionnement, des mises à jour correctives, de la maintenance et du basculement matériel des HSM, mais n’a pas accès aux clés elles-mêmes, car le service s’exécute dans l’infrastructure d’informatique confidentielle d’Azure. Managed HSM est intégré aux services PaaS Azure SQL, Stockage Azure et Azure Information Protection et offre la prise en charge du protocole TLS sans clé avec F5 et Nginx. Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?
Azure Dedicated HSM : Offre de HSM nu certifiée FIPS 140-2 de niveau 3, qui permet aux clients de louer une appliance HSM à usage général qui réside dans les centres de données Microsoft. Le client a la propriété complète et totale de l’appareil HSM et est responsable de la mise à jour corrective et de la mise à jour du microprogramme, le cas échéant. Microsoft n’a aucune autorisation sur l’appareil ni aucun accès au matériel clé, et Dedicated HSM n’est intégré à aucune offre PaaS Azure. Les clients peuvent interagir avec le HSM à l’aide des API PKCS#11, JCE/JCA et KSP/CNG. Cette offre est particulièrement utile pour les charges de travail de type « lift-and-shift » héritées, la PKI, le déchargement SSL et le protocole TLS sans clé (les intégrations prises en charge incluent F5, Nginx, Apache, Palo Alto, IBM GW et plus encore), les applications OpenSSL, Oracle TDE et Azure SQL TDE IaaS. Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?
Azure Payments HSM : Offre de PCI HSM v3 nu certifiée FIPS 140-2 de niveau 3 qui permet aux clients de louer une appliance HSM de paiement dans les centres de données Microsoft pour les opérations de paiement, notamment le traitement des paiements, l’émission d’informations d’identification de paiement, la sécurisation des clés et des données d’authentification et la protection des données sensibles. Le service est compatible avec PCI DSS et PCI 3DS. Azure Payments HSM offre des modules HSM monolocataires permettant aux clients de bénéficier d’un contrôle administratif complet et d’un accès exclusif au HSM. Une fois le HSM alloué à un client, Microsoft n’a pas accès aux données client. De même, lorsque le HSM n’est plus nécessaire, les données client sont mises à zéro et effacées dès que le HSM est libéré pour garantir une confidentialité et une sécurité complètes. Pour plus d’informations, consultez À propos du service HSM de paiement Azure.
Pour obtenir une vue d’ensemble des types de secrets, de clés et de certificats que vous pouvez utiliser dans le coffre de clés, consultez Vue d’ensemble des clés, des secrets et des certificats d’Azure Key Vault
Bonnes pratiques pour l’utilisation de Key Vault
Utiliser des coffres de clés distincts
Nous recommandons d’utiliser un coffre par application et par environnement (développement, préproduction et production), par région. Cela vous permet de ne pas partager de secrets entre environnements et régions. Cela permet également de réduire la menace en cas de violation.
Pourquoi nous recommandons des coffres de clés distincts
Les coffres de clés définissent les limites de sécurité des secrets stockés. Regrouper les secrets dans un même coffre augmente le rayon d’impact d’un événement de sécurité, car des attaquants pourraient être en mesure d’accéder aux secrets de différents domaines. Pour atténuer les problèmes d’accès, réfléchissez aux secrets auxquels une application spécifique doit avoir accès, puis séparez vos coffres de clés en fonction de cette délimitation. La séparation des coffres de clés par application est la limite la plus courante. Toutefois, les limites de sécurité peuvent être plus granulaires pour des applications de grande taille, par exemple, par groupe de services associés.
Contrôler l’accès à votre coffre
Les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe sont sensibles et critiques pour l’entreprise. Vous devez sécuriser l’accès à vos coffres clés en autorisant uniquement les applications et utilisateurs autorisés. Les fonctionnalités de sécurité d’Azure Key Vault donnent une vue d’ensemble du modèle d’accès au coffre de clés. Celle-ci explique l’authentification et l’autorisation. Elle décrit également comment sécuriser l’accès à vos coffres de clés.
Voici des suggestions concernant le contrôle de l’accès à votre coffre :
- Verrouillez l’accès à votre abonnement, à votre groupe de ressources et à vos coffres de clés (contrôle d’accès en fonction du rôle (RBAC)).
- Créez des stratégies d’accès pour chaque coffre
- Suivez le principe de l’accès assorti d’un privilège minimum pour accorder l’accès.
- Activez le pare-feu et les points de terminaison de service de réseau virtuel.
Activer la protection des données pour votre coffre
Activez la protection contre le vidage pour vous prémunir contre la suppression malveillante ou accidentelle des secrets et du coffre de clés, même après activation de la suppression réversible.
Pour plus d’informations, consulter Vue d’ensemble de la suppression réversible d’Azure Key Vault
Activation de la journalisation
Activez la journalisation pour votre coffre. Configurez également des alertes.
Sauvegarde
La protection contre le vidage empêche la suppression malveillante et accidentelle d’objets de coffre pendant jusqu’à 90 jours. Dans les scénarios où la protection contre le vidage n’est pas une option possible, nous vous recommandons de sauvegarder des objets de coffre, qui ne peuvent pas être recréés à partir d’autres sources comme les clés de chiffrement générées dans le coffre.
Pour plus d’informations sur la sauvegarde, consultez Sauvegarde et restauration Azure Key Vault
Solutions multilocataires et Key Vault
Une solution multilocataire repose sur une architecture dans laquelle les composants sont utilisés pour servir plusieurs clients ou locataires. Ce type de solution est souvent exploité pour prendre en charge les solutions SaaS (software as a service). Si vous créez une solution multilocataire qui inclut Key Vault, consultez Architecture multilocataire et Azure Key Vault.