Concrètement Pascal Sauliere | @psauliere

Une introduction à Azure Key Vault Philippe Beraud, @philberd Daniel Pasquier

Beaucoup de données dans le cloud 30 Billions d’objets stockés dans Azure 40% de croissance annuelle en données Source : IDC 8,7Milliards $ de budget total consacré au stockage cloud en 2017 Source : Gartner 70% des DSI adopteront une stratégie de Cloud en premier en 2016 Source : webinaire IDC agenda DSI FACTEURS ECONOMIQUES Pilotes Il y a beaucoup de données dans le nuage aujourd'hui et encore plus à venir comme : Les données croissent en volume à un rythme phénoménal. Plusieurs chiffres ont été avancés et publiés, et 40 % de croissance par an semble une bonne estimation; des environnements et des charges de travail individuelles peuvent cependant croître à des taux beaucoup plus rapides. Compte tenu de la croissance massive dans les données, c'est sans surprise que le total des dépenses de stockage cloud devrait passer la barre de 8,7 milliards de dollars d'ici à 2017 à 33 % TCAC (Taux de Croissance Annuel Composé) (Source : Gartner). Selon une étude d'IDC, 70 % des DSI adopteront une stratégie de Cloud en premier en 2016. Ils envisageront une livraison basée sur le cloud comme choix préféré lors de l'implémentation de nouvelles technologies, telles que celles utilisées pour stocker et traiter un large éventail de données, y compris les données à caractères personnelles (PII) et autres ensembles de données réglementées. Aujourd'hui, il y a 30 billions (milliers de milliards) d’objets stockés dans Azure mais ceci augmentera à mesure que les entreprises clientes seront désireuses de réaliser les bénéfices du cloud en matière de vitesse, de passage à l’échelle et facteurs économiques. ECHELLE VITESSE 3

Beaucoup de secrets et de clés à gérer Des clés de chiffrement sont utilisés pour chiffrer les données et créer des signatures numériques conformément aux politiques et standards de sécurité des données de l’entreprise. Clés de compte, mots de passe, certificats et autres petits secrets contrôlent l'accès aux données dans les comptes de stockage, machines virtuelles et autres services de cloud. Microsoft Azure IaaS PaaS SaaS Beaucoup de données entraîne la nécessité de gérer beaucoup de clés et secrets utilisés pour sécuriser ces données. Des clés cryptographiques sont nécessaires pour chiffrer les données, mais aussi pour créer des signatures numériques. Les développeurs ont besoin de clés pour le développement/test et des clés distinctes sont nécessaires pour les données de production. Chaque application doit avoir son propre jeu de clés et l'accès et l'utilisation de ces clés doivent être soigneusement gérés et vérifiés pour s'assurer de leur bon usage et de la conformité aux politiques et standards de sécurité des données. De petits secrets comme les clés de compte et mots de passe régissent l'accès aux données dans les comptes de stockage et autres services de cloud. Plus nombreux sont les services cloud consommés, plus nombreux sont des secrets gérer dans ce contexte. Microsoft Confidential

Les protéger s’avère DIFFICILE Défis Pour certaines applications dans le cloud (p. ex. SQL TDE) vous pouvez exploiter vos modules de sécurité matériel (HSM) en local. Cette approche ne fonctionne que pour certaines applications. Par exemple, les applications SaaS ne s’appuieront pas sur les modules HSM locaux pour chaque client. En outre, cela peut être complexe pour l'organisation qui espérait que le cloud serait simple ! Microsoft Azure IaaS PaaS SaaS Protéger les clés et secrets s’avère DIFFICILE Les nombreux défis qui se posent incluent : Des modules HSMs en local ne peuvent être utilisés que pour certains types d'applications cloud uniquement. Et quand bine même, cette approche a des limitations en matière de coûts, de passage à l’échelle et de vitesse : Frais initiaux importants : les clients doivent acheter, provisionner et configurer le logiciel de gestion des clés et les modules HSM ; ce qui est coûteux et prend du temps sans parles des processus et des responsabilités qui vont de pair Ne peut pas passer à échelle rapidement – les processus de déploiement de modules HSM doivent être dupliqués pour le passage à l'échelle La latence et le manque de redondance peut conduire à des problèmes de performances Il n'y a aucun moyen efficace pour les clients contrôler les clés utilisées pour chiffrer les données stockées dans les applications SaaS. Les secrets sont souvent stockées en clair, ou mieux chiffré par à une autre clé, mais où stockez-vous CETTE clé ? HSM Microsoft Confidential

Microsoft Azure Key Vault Key Vault offre un moyen facile et rentable pour sauvegarder les clés et les autres secrets utilisés par les applications et services cloud à l'aide de modules HSM. Vous gérez vos clés et secrets Les applications ont un accès haute performance à vos clés et secrets... selon vos conditions Microsoft Azure IaaS PaaS SaaS Key Vault Key Vault offre un moyen facile et rentable pour sauvegarder les clés et les autres secrets utilisés par les applications et services cloud à l'aide de modules HSM. Avec Key Vault, les clients peuvent simplifier la gestion des clés et garder le contrôle des clés servant à accéder et à chiffrer leurs données. Importation des clés HSM Microsoft Confidential

Azure Key Vault Démo

Utilisation de Key Vault Vos applications Fournir à vos applications métier un accès sécurisé aux clés pour des fins de chiffrement des données et de signature SQL Server Provisionner et gérer des clés pour SQL Server (TDE, CLE et sauvegarde) en machines virtuelles Azure ou en local Machines virtuelles Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus de sécurité Microsoft Azure Vos applications Machines virtuelles SQL Server Key Vault Démarrer avec Azure Key Vault Vos applications : Fournir à vos applications métier avec un accès sécurisé aux clés pour des fins de chiffrement des données et de signature SQL Server : Provisionner et gérer des clés pour SQL Server (TDE, CLE et sauvegarde) en machines virtuelles Azure ou en local Machines virtuelles : Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus de sécurité Microsoft Confidential

Cycle de vie de la gestion des clés Responsable de la sécurité Développeur/Administrateur IT Auditeur Gère des clés Déploie une application Surveille l’accès aux clés Crée un coffre de clés dans Azure Ajoute des clés / secrets dans le coffre Accorde des permissions à des applications données pour réaliser des opérations spécifiques à l’aide des clés p. ex. déchiffrer, signer, « désemballer » (unwrap) Active la journalisation des usages Indique à l’application l’URI de la clé / du secret L’application utilise programmatiquement la clé / le secret (et peut en abuser) mais ne voit jamais les clés Passe en revue les journaux d'utilisation afin de confirmer la bonne utilisation de clés et la conformité aux politiques et standards de sécurité des données Cycle de vie de gestion des clés Responsable de la sécurité – Fournit des clés Crée un coffre de clés dans Azure Ajoute des clés / secrets dans le coffre Accorde des permissions à des applications données pour réaliser des opérations spécifiques à l’aide des clés p. ex. déchiffrer, signer, « désemballer » (unwrap) Active la journalisation des usages Développeur/Administrateur IT - Déploie une application Indique à l’application l’URI de la clé / du secret L’application utilise programmatiquement la clé / le secret (et peut en abuser) mais ne voit jamais les clés Auditeur - Surveille l’accès aux clés Passe en revue les journaux d'utilisation afin de confirmer la bonne utilisation de clés et la conformité aux politiques et standards de sécurité des données

Renforcer la conformité et la protection des données Sécurité accrue Clés protégées par des modules HSM Conformité Surveillance Chiffrer les clés et de petits secrets comme des mots de passe à l'aide de clés protégées par des modules de sécurité matériel (HSM) étroitement contrôlés et surveillés Importer ou générer vos clés dans des modules HSM pour une assurance supplémentaire – afin que les clés restent confinées au sein du module HSM Se conformer aux normes réglementaires pour la gestion sécurisée des clés, y compris FIPS 140-2 niveau 2 et critères communs EAL 4+ Surveiller et vérifier l'utilisation des clés par le biais de la journalisation Azure (version préliminaire publique) – Transmettre les journaux dans HDInsight ou dans votre solution SIEM pour une analyse supplémentaire (à venir bientôt) Renforcer la conformité et les protection des données Chiffrer les clés et de petits secrets comme des mots de passe à l'aide de clés protégées par des modules de sécurité matériel (HSM) étroitement contrôlés et surveillés Importer ou générer vos clés dans des modules HSM pour une assurance supplémentaire – afin que les clés restent confinées au sein du module HSM Se conformer aux normes réglementaires pour la gestion sécurisée des clés, y compris FIPS 140-2 niveau 2 et critères communs EAL 4+ Surveiller et vérifier l'utilisation des clés par le biais de la journalisation Azure (version préliminaire publique) – Transmettre les journaux dans HDInsight ou dans votre solution SIEM pour une analyse supplémentaire (à venir bientôt)

Tout le contrôle, sans aucun effort Provisioning rapide Gestion centralisée Contrôle Migration transparente Provisionner et déployer de nouveaux coffres de clés et des clés en quelques minutes sans attendre pour passer une commande, du matériel, etc. Gérer de façon centralisée les politiques, les secrets et les clés Garder le contrôle sur les données chiffrées - accorder et révoquer l’usage de clés par vos propres applications et des tierces comme nécessaire – les applications n’ont jamais un accès direct à vos clés Permettre aux développeurs de facilement gérer les clés utilisées pour le développement/test et migrer en toute transparence vers des clés de production gérées par des responsables de la sécurité Tout le contrôle, sans aucun effort Provisionner et déployer de nouveaux coffres de clés et des clés en quelques minutes sans attendre pour passer une commande, du matériel, etc. Gérer de façon centralisée les politiques, les secrets et les clés – uiliser des APIs pour l’ensemble du cycle de vie de gestion des clés Garder le contrôle sur les données chiffrées - accorder et révoquer l’usage de clés par vos propres applications et des tierces comme nécessaire – les applications n’ont jamais un accès direct à vos clés Permettre aux développeurs de facilement gérer les clés utilisées pour le développement/test et migrer en toute transparence vers des clés de production gérées par des responsables de la sécurité

Améliorer les performances et atteindre une échelle mondiale Amélioration des performances Evolutivité Redondance globale Économies de coûts Améliorer les performances et réduire la latence des applications cloud en stockant des clés de chiffrement dans le cloud (vs. en local) Passer à l'échelle automatiquement pour répondre aux besoins cryptographiques de vos applications cloud et correspondre à la demande de pointe Atteindre une redondance globale en provisionnant des coffres dans les centres de données d'Azure dans le monde entier et conserver une copie dans vos propres modules de sécurité matériel (HSM) pour la longévité supplémentaire Réduire les investissements initiaux et les dépenses informatiques en cours comme il n'y a nul besoin d'acheter, de configurer, de patcher et de maintenir des logiciels de gestion de clés et des modules HSM PERFORMANCE Améliorer les performances et atteindre une échelle mondiale Améliorer les performances et réduire la latence des applications cloud en stockant des clés de chiffrement dans le cloud (vs. en local) Passer à l'échelle automatiquement pour répondre aux besoins cryptographiques de vos applications cloud et correspondre à la demande de pointe Atteindre une redondance globale en provisionnant des coffres dans les centres de données d'Azure dans le monde entier et conserver une copie dans vos propres modules de sécurité matériel (HSM) pour la longévité supplémentaire Réduire les investissements initiaux et les dépenses informatiques en cours comme il n'y a nul besoin d'acheter, de configurer, de patcher et de maintenir des logiciels de gestion de clés et des modules HSM

Pour aller plus loin Essayez gratuitement Azure Key Vault > Documentation Azure Key Vault http://azure.microsoft.com/fr-fr/services/key-vault/   Blog technique http://blogs.technet.com/b/kv Forum communautaire https://social.msdn.microsoft.com/forums/azure/en-US/home?forum=AzureKeyVault Faîtes nous part de vos commentaires mailto:azurekeyvault@microsoft.com Essayez gratuitement Azure Key Vault : https://azure.microsoft.com/fr-fr/pricing/free-trial/ Essayez gratuitement Azure Key Vault >

http://aka.ms/concretement