Comment protéger, sauvegarder, auditer et synchroniser vos clés privées de chiffrement stockées dans un Azure Key Vault (Software ou HSM)

Grâce à la solution Thales CipherTrust Cloud Key Manager (CCKM), nous pouvons maintenant avoir le contrôle sur les clés privées de chiffrement utilisées dans Azure et Office 365 stockées dans Azure Key Vault. La solution CCKM permet de gérer le cycle de vie des clés privées.

Le stockage des clés privés est réalisée dans un coffre-fort numérique Vormetric DSM (On-premises Hardware, Cloud et On-premises Software).

L’appliance Thales CCKM est déployée soit sur site, soit comme service Cloud.

Voici le schéma de principe :

Pour ce faire, nous créons une ‘Security Blade’ par service cloud (Tenant Azure, Azure Gov, Salesforce, AWS) et nous accédons à la console associée :

La configuration du lien avec Azure ce fait grâce à une ‘Entreprise Application’ qui permet à l’appliance de communiquer avec Azure

Ensuite nous pouvons synchroniser l’ensemble des clés déjà présentes dans Azure directement dans le coffre-fort DSM :

Nous pouvons alors générer une clé depuis notre coffre-fort DSM et l’exporter directement vers Azure :

Nous pouvons également gérer les versions de clé directement depuis l’interface CCKM et mettre en place une politique de rotation automatique des clés de chiffrement qui sont ensuite directement exportées vers Azure Key Vault.

La fonction de révocation est directement disponible depuis CCKM

La fonction de reports permet d’auditer l’usage des clés et leur cycle de vie, et également quelles applications dans le Cloud (ici Azure) vont consommer ces clés :

Ici nous pouvons voir que ce sont l’application storage blob et le compte associé qui ont consommé les clés pour chiffrer des données, ainsi qu’Azure Information Protection avec les ‘customer managed keys’ :

Pour résumer, grâce à Thales CipherTrust Cloud Key Manager et aux services Logs Analytics et Key Vault d’Azure, nous pouvons consommer différents services Iaas et SaaS de Microsoft tout en ayant le contrôle et l’audit des clés de chiffrement utilisées pour sécurisés ces services Cloud.

A noter que CCKM support également d’autres services Cloud comme Salesforce ou Amazon Web Services.

N’hésitez pas à nous contacter si vous souhaitez plus de renseignement ou une démonstration de ces technologies.

Auteur : Thibaud Merlin