Gestion externalisée des clés de chiffrement : Oracle s’allie à Thales
En s’associant à Thales, Oracle entend s’aligner sur ses concurrents qui prennent déjà en charge le modèle Hold your Own Key tout en complétant ses offres EU Sovereign Cloud et Alloy.
Oracle vante la sécurité embarquée dans sa plateforme cloud Oracle Cloud Infrastructure. Dans ce cadre, la gestion des clés de chiffrement est par défaut orchestrée au niveau des régions cloud. En 2020, chaque zone disposait d’un cluster de six HSM (Hardware Security Module). Les clients les plus exigeants pouvaient se procurer un coffre virtuel privé, mais il n’était pas possible de stocker les clés en dehors d’OCI.
« Même si Oracle propose de stocker les chiffrements dans des HSM au sein du cloud, beaucoup de nos clients souhaitaient disposer de capacités de chiffrement en dehors de notre cloud », déclare Damien Rilliard, Security Specialist, EMEA, CISO Office chez Oracle.
C’est en réponse à cette demande qu’Oracle a annoncé un partenariat avec Thales lors de CloudWorld 2023, du 18 au 21 septembre.
Ce partenariat porte sur l’intégration de CipherTrust Cloud Key Management (CCKM) avec OCI. Ainsi, les clients d’Oracle pourront utiliser le KMS et les HSM de Thales pour gérer leurs clés chez eux ou en confier la gestion à Thales.
L’offre a été formellement présentée lors de sa eWeek Security, du 5 au 8 septembre 2023, en direction des clients français. Comme ses concurrents, Oracle présente ce partenariat comme un moyen de se conformer aux lois financières, aux réglementations européennes, dont le RGPD et les accords de transferts de données EU-US, mais également comme un complément à ses offres « souveraines ». CCKM est compatible avec les 45 régions cloud OCI, dont les régions EU Sovereign Cloud, mais aussi Alloy.
Clés natives, BYOK et HYOK
Les services de Thales permettent de superviser, de gérer les clés et de protéger différentes typologies de clés de chiffrement pour les données en transit et au repos.
Ces capacités visent à répondre aux différents niveaux de protection réclamés par les entreprises, selon Emmanuel Bout responsable Business Development chez Thales.
Une partie de la gestion des clés peut être confiée au service Vault pour les données les moins sensibles, puisque Oracle chiffre toutes les données par défaut. CCKM permet de gérer automatiquement (du moins en partie) la cérémonie des clés natives OCI, c’est-à-dire leur inventaire, leur création et leur rotation. La plateforme joue alors le rôle d’une couche de contrôle externe.
Les clients peuvent également utiliser un autre service KMS (Key Management System) ou leur propre couple HSM/KMS pour créer, assigner (via OCI IAM), contrôler et révoquer des clés BYOK (Bring Your Own Key). Celles-là peuvent être stockées directement sur les infrastructures OCI.
Puis, il y a un dernier niveau de protection.
Damien RilliardSecurity Specialist, EMEA, CISO Office, Oracle
« En fonction de la sensibilité des données, au regard des régulations et des politiques de sécurité, l’on peut avoir le besoin du contrôle total de ses clés. L’une des options consiste à stocker les clés de chiffrement chez soi ou chez un tiers de confiance », évoque Emmanuel Bout.
C’est le principal intérêt de cette offre EKMS. Elle permet aux clients de stocker physiquement des clés sur des HSM hébergés soit sur site, ou depuis l’offre cloud de l’équipementier français, selon les principes du modèle HYOK (Hold your Own Key).
« De la sorte, les clés maîtresses de chiffrement ne quittent jamais un environnement de confiance, qu’il soit un HSM possédé par une entreprise ou celui d’un fournisseur tiers », affirme Damien Rilliard. « Les ressources OCI sont chiffrées grâce à ces clés ».
Externaliser le chiffrement des données dans les services IaaS, PaaS et bientôt SaaS
« Nous sommes capables de gérer des modes hybrides en fonction des politiques de gestion de clés appliquées dans différents pays », précise Emmanuel Bout.
En l’occurrence les ressources OCI Block Volume, Container Engine for Kubernetes, Database, File Storage, Object Storage et Streaming sont compatibles avec le système de Thales.
« Pour l’instant, notre solution couvre les services IaaS, PaaS, et elle sera disponible pour les services SaaS [d’Oracle]. Avec Oracle, nous souhaitons compléter l’offre pour couvrir un maximum de services », déclare Emmanuel Bout.
L’offre de Thales s’appuie sur une capacité nommée Oracle External Key Management (EKM), d’abord testée dans la région cloud US-West (San José). Il était déjà possible d’externaliser le chiffrement des données présentes dans Autonomous Database déployée sur Oracle Exadata Cloud@Customer.
La concurrence propose également un service similaire. Google Cloud fournit la gestion externalisée du chiffrement pour certains services depuis 2019. En décembre 2022, AWS a annoncé le lancement de son service XKS. Oracle suit donc cette tendance à adopter le modèle HYOK chez les fournisseurs cloud qui se plient davantage à la demande de leurs clients qu’à leurs équipes de sécurité.
L’offre CCKM de Thales est compatible avec les modes HYOK d’Oracle d’AWS, de Google, mais aussi de Salesforce. Elles couvrent les fonctionnalités BYOK de ces fournisseurs en sus de celles de SAP, Microsoft et IBM. Selon la documentation de Thales, cet orchestrateur peut fonctionner avec les HSM Luna Network et Vormetric DSM, offrant un niveau de conformité « jusqu’au niveau 3 » de la norme FIPS-2. Qui plus est, le représentant de Thales assure que CCKM « peut être rattachée à des HSM compétiteurs ».
Des réseaux dédiés pour abaisser la latence
Outre la sécurisation des accès, essentielle à la mise en place d’un tel dispositif, c’est la question de la latence qui peut freiner l’adoption.
Damien RilliardSecurity Specialist, EMEA, CISO Office, Oracle
« L’important, c’est la notion de séparation de devoirs entre l’endroit où est stockée et gérée la clé et le cloud Oracle », appuie Damien Rilliard.
« Après vient la question de la performance et de la latence. On estime qu’il n’y a aucun impact à la performance à partir du moment où l’on réussit à obtenir une latence inférieure à 100 millisecondes », ajoute-t-il.
La latence entre les régions EU-Sovereign Cloud et les instances cloud Thales serait « très largement » inférieure à ce seuil, selon le responsable.
L’intégration avec les infrastructures OCI ne passera « pas de manière systématique, mais le plus souvent possible » par un service VCN et Oracle FastConnect, un réseau dédié et privé supporté par différents opérateurs télécoms et hébergeurs. Par exemple, le point de présence FastConnect de la région cloud parisienne (installée à Interxion, à Saint-Denis) est hébergé par Telehouse (Paris) et est accessible à travers les services d’OBS, d’Equinix, d’Intercloud, de Colt ou encore de Megaport.