AWS Aurora supporte le chiffrement des données au repos

Les clients AWS, positionnées à l’international,  pourraient bien considérées avec attention les possibilités de chiffrements au repos de la base de données d’Amazon, même si pour les experts, les perspectives semblent encore obscures.

Présentée il y a un an, Amazon Aurora disposait déjà de capacités de chiffrement  AES-256 de données en transit. Mais la protection par chiffrement pour les bases de données en back-end, pour les logs et les snapshots par exemple n’était jusqu’alors pas mise en place.  

Cet ajout du chiffrement à Aurora n’est pourtant pas une surprise – il était déjà offert avec RDS. « Il s’agit d’une exigence forte chez tous les fournisseurs, et particulièrement les fournisseurs de services Saas dont les clients sont situés hors des Etats-Unis », précise Theodore Kim, directeur des opérations Saas chez Jobvite un spécialiste de l’acquisition de talents.

Les utilisateurs ont ainsi la capacité de gérer eux-mêmes leurs clés de chiffrements via le service AWS Key Management Service, ou de l’externaliser auprès d’un tiers en Europe.

« Si vous possédez ces clés de chiffrement et en confiez la gestion à un tiers à l’étranger, nous ne pouvons pas déchiffrer les données, même si nous sommes contraints par une assignation à comparaître ou un ordre de justice des US », rappelle Theodore Kim.

Selon la documentation d’AWS, il est impossible de copier un snapshot chiffré d’une région vers une autre ou de répliquer une instance de base de données à travers plusieurs régions ; cela est en ligne avec les lois européennes qui imposent de ne pas sortir les données personnelles hors de leur territoire. Amazon a aussi ouvert une zone à Francfort pour répondre aux exigences des clients allemands sous le joug de ces lois. AWS prévoit également d’ouvrir une région au Royaume-Uni en 2016.

S’il s’agit d’un pas dans la bonne direction, il n’est toujours pas garanti que le chiffrement au repos soit un élément suffisant pour permettre aux entreprises américaines d’héberger des données provenant de l’Union Européenne, dans ce contexte post-Safe Harbour. Le parlement européen a récemment validé la réforme ; elle sera publiée en janvier et prendra effet deux ans après.

Auparavant, les entreprises se reposaient sur  l’accord Safe Harbour, noué entre le Département du commerce américain et l’Union européenne. Cet accord régulait la façon dont les entreprises américaines pouvaient manipuler les données personnelles des citoyens européens. Cette année, la cour européenne de Justice a annulé cet accord.

« Le message fondamental est que le moyen le plus sain est d’établir une présence dans le pays, surtout si vous disposez d’une importante base de clients (dans ce pays) », résume Penny Jones, analyste senior chez 451 Research. « Il existe actuellement des contournements, mais tout dépend vraiment des régulations qui seront mises en place en 2016. »