leowolfert - Fotolia

Google simplifie la gestion des clés cryptographiques

La simplicité de l’offre de gestion de clés cryptographiques de Google impressionne. Mais pas au point de se démarquer de la concurrence.

Les services de gestion des clés cryptographiques (Key Management System, KMS) sont jugés suivant leur capacité à simplifier la tâche de leur sécurisation. Et même si les experts sont impressionnés par la facilité d’utilisation de l’offre Cloud KMS de Google, elle ne semble pas apporter de grandes nouveautés.

Google a annoncé son service de KMS en version bêta, comme une extension de sa Cloud Platform (GCP), pour plusieurs régions, dont l’Europe. Le géant du Web vise là les « secteurs d’activité régulés, dont les services financiers et la santé » parce que, selon lui, les systèmes traditionnels de gestion des clés « sont difficiles à maintenir et à utiliser à grande échelle ».

Dans un billet de blog, Maya Kaczorowski, chef de produit chez Google, explique que « Cloud KMS offre une racine de confiance en mode Cloud que vous pouvez surveiller et auditer ». Avec ce service, elle indique qu’il est possible « d’administrer les clés de chiffrement symétrique en mode Cloud, qu’elles soient utilisées pour protéger des données stockées dans GCP ou un autre environnement. Vous pouvez créer, utiliser, changer et détruire des clés via l’API Cloud KMS, y compris dans le cadre d’une gestion de secret ou d’une solution de chiffrement. Elle est directement intégrée aux solutions Cloud Identity Access Management et Cloud Audit Logging pour un contrôle plus étroit des clés ».

John Morello, directeur technique de Twistlock, spécialiste du contrôle d’accès aux conteneurs Docker, estime que Cloud KMS est « un excellent exemple de ce sur quoi chacun, dans le monde de la sécurité et du Cloud, devrait se concentrer : rendre faciles des bonnes pratiques de sécurité qui étaient difficiles à suivre ».

Plus précisément, il estime que l’offre permet de soulager les développeurs de la complexité liée à la gestion des clés cryptographiques, permettant à chacun de « protéger les données plus facilement tout au long de leur cycle de vie. Et de manière critique, l’approche de Google fournit un choix plus étendu, et l’on n’est plus limité à une seule base de confiance. Au lieu de cela, il est possible d’utiliser le support qu’il offre en matière de gestion de clés de clients pour maintenir un contrôle complet sur les clés qui sont utilisées pour des scénarios hautement sensibles, tout en s’appuyant sur le support natif de la plateforme pour des besoins moins critiques. Cela rend plus simple le chiffrement de tout, partout, tout en maintenant le contrôle sur la manière dont les clés sont gérées ».

Mais David Berman, directeur sénior en charge du marketing produit de CipherCloud, un spécialiste du chiffrement des données des applications Cloud – dont le service de CASB peut être utilisé soit avec le service de gestion de clés maison, soit avec un KMS tiers – estime qu’il n’y a rien de véritablement unique dans l’annonce de Google, surtout comparé à d’autres options comme celle proposée par Amazon et utilisée notamment par Box.

Pour David Berman, « Google KMS ne supporte que le cas d’usage du chiffrement des données au repos pour les clients de GCP. Cette annonce souligne l’arrivée tardive de Google avec une option de KMS, longtemps après Amazon, entre autres ». Microsoft propose d’ailleurs également un service comparable.

Toutefois, pour Rob Schultz, vice-président des Rubicon Labs, l’offre de Google pourrait aider les entreprises à construire une meilleure sécurité : « pour que la sécurité avance et s’améliore, sa complexité doit être abstraite, et c’est précisément ce qu’apporte Google avec Cloud KMS. La gestion des clés utilisées pour protéger les données en transit et au repos est la première étape vers une meilleure sécurité du Cloud. Nombre des vulnérabilités et des piratages observés aujourd’hui dans le Cloud sont les symptômes d’une gestion des clés sinon inexistante, au moins mauvaise. Et KMS pourrait permettre aux RSSI du monde entier de retrouver un peu de sommeil ».

Mais cela suffit-il à adresser véritablement les besoins des secteurs régulés visés par Google ? Pas sûr, estime David Berman. Pour lui, les organisations de ces secteurs « ne trouveront pas l’approche de gestion partagée des clés de Cloud KMS appropriée pour répondre à leurs besoins d’audit et de conformité, dont la ségrégation des tâches, le chiffrement aveugle ou le contrôle exclusif des clés par le client ».

Et Kevin Bocek, vice-président de Venafi en charge de la stratégie et du renseignement sur les menaces, va plus loin. Pour lui, Google « échoue là à répondre au véritable défi lié à la gestion des clés et des certificats dans le Cloud » : sa solution « n’automatise pas du tout l’utilisation des clés et des certificats pour HTTPS. C’est le besoin le plus basique et le plus fondamental pour la sécurité du Cloud. C’est un manque considérable que les équipes DevOps et sécurité des entreprises sérieuses au sujet du cloud devront combler avant de considérer réellement Google pour ses services Cloud ». 

Pour approfondir sur Sécurité du Cloud, SASE

Close