DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Gestion des clés de chiffrement

Gestion des clés de chiffrement

Gestion centralisée des clés

Centralisez votre système de gestion des clés de chiffrement. Par exemple, l’architecture suivante peut être considérée comme bien adaptée à la majorité des entreprises :

Un nœud de chiffrement et de déchiffrement existe à tout point du réseau de l’entreprise. Les composants de gestion des clés peuvent être déployés sur différents nœuds et peuvent être intégrés à toute application de chiffrement. Un tel système permet d’avoir tous les mécanismes de chiffrement et de déchiffrement au niveau du nœud où le chiffrement/déchiffrement est effectué.


Profils d’utilisateurs centralisés pour l’authentification

L’accès à vos données sensibles doit être basé sur les profils d’utilisateurs définis dans votre gestionnaire de clés. Ainsi, seuls les utilisateurs correctement authentifiés devraient avoir le privilège d’accéder aux ressources chiffrées. Un administrateur devrait être responsable de la gestion des profils d’utilisateurs. La meilleure pratique est de construire votre système de gestion des clés de manière à ce qu’aucun utilisateur unique n’ait un accès exclusif aux clés.


Séparer les processus de chiffrement et de déchiffrement

Vous pouvez implémenter votre système de chiffrement/déchiffrement au niveau local et le distribuer dans toute l’organisation ou l’implémenter en un lieu central sur un serveur de chiffrement distinct. Notez que tous les nœuds doivent utiliser les mêmes normes, règles et niveaux de qualité. Cette approche présente les avantages suivants :

  • Performance accrue
  • Moins de bande passante réseau
  • Haute disponibilité
  • Amélioration de la transmission des données

Notez que si les processus de chiffrement et de déchiffrement sont distribués, le processus de gestion des clés doit garantir une distribution sécurisée des clés.


Principe du moindre privilège

C’est un principe de base pour utiliser toute application, y compris les applications de chiffrement. Il est recommandé de ne pas utiliser de privilèges administratifs lors de l’utilisation d’une application à moins que cela soit absolument nécessaire, car cela rend les applications extrêmement vulnérables aux menaces internes et externes.


Soutien de plusieurs mécanismes de chiffrement

Votre entreprise doit être prête pour les fusions et acquisitions, il serait donc préférable de construire votre système de chiffrement avec la capacité de supporter différentes technologies de chiffrement. Bien sûr, vous n’avez pas besoin de mettre en œuvre toutes les technologies de chiffrement disponibles, mais les principales normes industrielles.


Solution commune de chiffrement et déchiffrement pour toutes les applications

Il est fortement conseillé d’utiliser un mécanisme de chiffrement commun pour les colonnes de base de données et les fichiers. Il doit être capable d’identifier les données sensibles qui doivent être chiffrées. Une fois chiffrées, les données ne doivent être accessibles que par des utilisateurs disposant des privilèges appropriés sur la base de droits utilisateurs spécifiques à l’application. Les droits doivent être contrôlés par l’administrateur.


Pas de déchiffrement ou rechiffrement en cas de rotation ou d’expiration des clés

Chaque fichier chiffré doit avoir un fichier de clé associé pour identifier les ressources à utiliser pour déchiffrer les données contenues dans le fichier. Cela signifie que votre système ne devrait pas déchiffrer un ensemble de données chiffrées, puis le rechiffrer lorsque les clés expirent ou changent. Dans ce scénario, les données récemment chiffrées seraient déchiffrées en utilisant la clé récente et la clé correspondante ancienne serait récupérée pour déchiffrer les données existantes.


Intégration avec des applications tierces

Il est courant dans les entreprises de disposer de nombreux dispositifs externes. Ces dispositifs peuvent être des dispositifs de point de vente (POS) répartis sur le réseau. Ceux-ci ne disposent pas d’applications typiques orientées base de données et sont dédiés à une seule fonction, utilisant des outils propriétaires. Il est toujours bon d’utiliser un mécanisme de chiffrement qui peut être facilement intégré à toute application tierce.

Parfois, les entreprises possèdent un grand nombre de dispositifs externes tels que des dispositifs POS (point de vente) inclus dans le réseau d’entreprise. Ces dispositifs ne peuvent généralement pas interagir directement avec les bases de données mais sont destinés à utiliser des outils propriétaires. Il est donc préférable que votre mécanisme de chiffrement soit compatible avec les applications tierces.


Journalisation et pistes d’audit

Une journalisation exhaustive est essentielle lors de l’utilisation de multiples applications distribuées et constitue un composant important de la gestion des clés. Chaque cas d’accès aux données chiffrées doit être journalisé, permettant de suivre l’utilisateur final essayant d’accéder aux données chiffrées. Les journaux doivent inclure les points suivants :

  • Requête utilisée pour accéder aux données
  • Détails de l’utilisateur
  • Ressources utilisées pour chiffrer les données
  • Colonnes de bases de données accédées
  • Heure à laquelle les données ont été consultées

Sauvegardes régulières

Sauvegardez fréquemment vos bases de données ! La meilleure pratique est de sauvegarder vos données sensibles tous les jours, d’avoir un scénario de restauration de données et de faire des vérifications périodiques de l’application que vous utilisez pour les sauvegardes.

Suivant

Lignes Directrices de Sécurité du Système de Gestion de Base de Données (DBMS)

Lignes Directrices de Sécurité du Système de Gestion de Base de Données (DBMS)

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]