Le service de chiffrement d’Oracle Cloud : Infrastructure Vault

Qu’est-ce qu’Oracle Cloud Infrastructure Vault ?

Le service permet de créer, supprimer des coffres, de générer des clés, de les importer, d’activer des clés de chiffrement d’encapsulage (Key Encryption Key), d’établir des politiques de rotations des clés, de mettre à jour des clés secrètes et d’auditer le tout (via Oracle Cloud Infrastructure Audit).

Le fournisseur cloud est particulièrement explicite concernant les services directement intégrés à Infrastructure Vault. « Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volume et Oracle Cloud Infrastructure File Storage s’intègrent au service Vault pour la prise en charge du cryptage des données dans des buckets, des volumes de blocs ou d’initialisation et des systèmes de fichiers. Oracle Cloud Infrastructure Container Engine for Kubernetes s’intègre au service Vault pour la création de clusters avec des clés secrètes Kubernetes cryptées inactives dans la banque clé-valeur etcd », précise la documentation.

Depuis 2020, Oracle a ajouté le support d’Oracle Cloud Infrastructure Database. OCI Vault permet ainsi de chiffrer au repos et en transit les données contenues dans les bases de données Conteneur Autonomous et les bases de données Exadata dédiées. Le service peut également servir à chiffrer les pools de données d’Oracle Cloud Infrastructure Streaming.

Une architecture de chiffrement maîtrisée

Là encore, les utilisateurs du service peuvent l’interfacer avec le service IAM du groupe américain. Les clés sont stockées soit dans des partitions virtualisées « multitenant » (des coffres virtuels qui peuvent contenir 100 clés chacun), soit dans des coffres privés virtuels, des partitions virtualisées isolées sur des modules de sécurité HSM mutualisés respectant la norme FIPS 140-2 de niveau 3 (ces coffres virtuels privés peuvent contenir jusqu’à 3 000 clés chacun). Oracle fait lui aussi appel à Marvell et sa gamme de HSM LiquidSecurity, selon le fabricant de semiconducteurs.

En 2020, les clés de chiffrement maître, de chiffrement de données et les clés secrètes générées étaient uniquement symétriques et dépendaient des algorithmes AES 128, 192 et 256 bits. En 2021, Oracle a introduit la prise en charge des clés asymétriques générées à l’aide des algorithmes RSA et ECDSA.

Les clés d’encapsulage (une paire de clés asymétriques) sont créées à l’aide de l’algorithme RSA 4 096 bits OAEP. Ces deux versions de clés ne peuvent pas être gérées : impossible de les supprimer, d’en créer de nouvelles ou de les modifier. Les clés, les coffres et les secrets peuvent être identifiés comme des ressources Oracle Cloud Infrastructure si la politique IAM adéquate a été mise en place.

Les tarifs d’Oracle Infrastructure Vault, plus difficiles à évaluer

Disponible dans toutes les régions OCI, Infrastructure Vault conserve automatiquement des copies des clés de chiffrement et les secrets « dans toutes les zones de disponibilité d’une même région ». Pour assurer la haute disponibilité, Oracle utilise un cluster de six HSM par région offrant un SLA de 99,999 %. Une console, une API, un SDK Python et un CLI permettent d’accéder aux services Oracle Cloud Infrastructure. En 2020, il était impossible d’exporter les clés ou de les migrer vers une autre région. C’est désormais possible depuis la fin mars 2021.

Les limites de service peuvent être revues à la hausse, à la demande du client. Les clés protégées par logiciel dans les environnements multitenant sont gratuites.

En revanche, chaque version de clés (au moins une par clé générée) coûte 0,496 062 euro par mois et les 20 premières sont gratuites (les trois versions de clés suivantes reviennent à environ 1 euro par mois). Selon le simulateur d’Oracle, il faut débourser en principe 2 576,71 euros par mois pour une instance de coffre privé virtuel (Oracle établit qu’un mois correspond à 744 heures d’utilisation de son cloud).
Selon sa grille tarifaire, ce prix est fixé à 3,463 32 euros par heure. Pour des raisons de haute disponibilité, il faut déployer au moins deux instances, donc débourser 5 143,42 euros par mois pour des coffres privés virtuels. Dans un article de blog, les représentants du fournisseur évoquent la gratuité des secrets, mais le service n’a rien de gratuit : établir des versions de clés est nécessaire pour gérer correctement les ressources de Vault, à moins de se limiter à 20 clés. De plus, les tarifs appliqués ont légèrement augmenté depuis 2020.

La gestion des clés et des coffres se veut plus contrôlée. Elle est en conséquence moins permissive. En témoigne le faible nombre d’algorithmes de chiffrement utilisés. De même, il n’y a pas d’information concernant la gestion du chiffrement pour des applications tierces gérées par un éditeur SaaS.

Oracle Key Vault : la gestion du chiffrement des bases de données Oracle aux seules mains du client

En sus de cette offre entièrement managée, le fournisseur dispose d’un autre KMS : Oracle Key Vault (OKV). Ce service propose un chiffrement logiciel « optimisé pour Oracle Wallet, keystores Java et clés maîtresses Oracle Advanced Security Transparent Data Encryption (TDE) ». En clair, Oracle Key Vault a été pensé pour Oracle Database. Toutefois, le système peut aussi gérer des clés symétriques et asymétriques, des clés liées à MySQL et MongoDB, les mots de passes, les certificats X.509, ou encore des clés SSH.

Cette solution disponible sur site ou dans le cloud se déploie dans les environnements Exadata et Exadata Cloud@customer, les bases de données Oracle, Golden Gate, ou encore les instances dédiées d’Autonomous Datatabase.

Oracle Key Vault peut s’étaler sur 16 clusters sur des serveurs Bare Metal compatibles avec Oracle Linux, mais la racine de confiance peut aussi être déployée dans un module matériel de sécurité (HSM). La racine peut résider dans un HSM managé par Oracle via OCI Vault, un Virtual Private Vault ou dans un HSM externe, dans le cloud ou sur site. Oracle Key Vault prend en charge la librairie PKCS#11, ce qui le rend compatible avec la plupart des modules matériels du marché. Par exemple, le fournisseur propose plusieurs configurations d’environnement pour assurer la haute disponibilité des clés avec les équipements de Thales, Entrust et Utimaco.

La licence logiciel Oracle Key Vault coûte 100 000 dollars par serveur, tandis que le coût du support et des mises à jour est fixé à 22 000 dollars. Il n’y a pas de limite sur le nombre de services ou de middleware pouvant se connecter à OKV.