Le service de chiffrement d’Oracle Cloud : Infrastructure Vault

Tout comme ses concurrents sur le marché du cloud, Oracle propose un service de chiffrement de données. Celui-ci se nomme désormais Oracle Infrastructure Vault. Voici ses principales caractéristiques.

Oracle Cloud Infrastructure Vault (anciennement Oracle Infrastructure Key Management) permet de gérer des coffres, des clés et des clés secrètes (mots de passes, certificats, SSH, tokens, etc.). Les coffres permettent de stocker des clés et des versions de clés, nécessaires lors des rotations.

Suite de l'article ci-dessous

Le service permet de créer, supprimer des coffres, de générer des clés, de les importer, d’activer des clés de chiffrement d’encapsulage (Key Encryption Key), d’établir des politiques de rotations des clés, de mettre à jour des clés secrètes et d’auditer le tout (via Oracle Cloud Infrastructure Audit).

Le fournisseur cloud est particulièrement explicite concernant les services directement intégrés à Infrastructure Vault. « Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volume et Oracle Cloud Infrastructure File Storage s’intègrent au service Vault pour la prise en charge du cryptage des données dans des buckets, des volumes de blocs ou d’initialisation et des systèmes de fichiers. Oracle Cloud Infrastructure Container Engine for Kubernetes s’intègre au service Vault pour la création de clusters avec des clés secrètes Kubernetes cryptées inactives dans la banque clé-valeur etcd », précise la documentation.

Une architecture de chiffrement maîtrisée

Là encore, les utilisateurs du service peuvent l’interfacer avec le service IAM du groupe américain. Les clés sont stockées soit dans des partitions virtualisées « multi-tenant » (des coffres virtuels qui peuvent contenir 100 clés chacun), soit dans des partitions virtualisées isolées sur des modules de sécurité HSM mutualisés respectant la norme FIPS 140-2 de niveau 3 (des coffres virtuels privés contenant jusqu’à 3 000 clés chacun). Oracle fait lui aussi appel à Marvell et sa gamme de HSM LiquidSecurity, selon le fabricant de semiconducteurs.

 Les clés de chiffrement maître, de chiffrement de données et les clés secrètes générées sont symétriques et dépendent des algorithmes AES 128, 192 et 256 bits. Les clés d’encapsulage (une paire de clés asymétriques) sont créées à l’aide de l’algorithme RSA 4 096 bits OAEP. Ces deux versions de clés ne peuvent pas être gérées : impossible de les supprimer, d’en créer de nouvelles ou de les modifier. Les clés, les coffres et les secrets peuvent être identifiés comme des ressources Oracle Cloud Infrastructure si la politique IAM adéquate a été mise en place.

Les tarifs d’Oracle Infrastructure Vault, plus difficiles à évaluer

Disponible dans toutes les régions OCI, Infrastructure Vault conserve automatiquement des copies des clés de chiffrement et les secrets « dans toutes les zones de disponibilité d’une même région ». Pour assurer la haute disponibilité, Oracle utilise un cluster de six HSM par région offrant un SLA de 99,999 %. Une console, une API, un SDK Python et un CLI permettent d’accéder aux services Oracle Cloud Infrastructure. En revanche, impossible d’exporter les clés ou de les migrer vers une autre région. Les limites de service peuvent être revues à la hausse, à la demande du client. Les clés protégées par logiciel dans les environnements multitenants sont gratuites.

En revanche, chaque version de clés (au moins une par clé générée) coûte 0,47904654 euro par mois et les 20 premières sont gratuites (les trois versions de clés suivantes reviennent à environ 1 euro par mois). Selon le simulateur d’Oracle, il faut débourser en principe 2 488 euros par mois pour une instance de coffre privé virtuel par heure.
Selon sa grille tarifaire, ce prix grimpe à 3,3445 euros. Dans un article de blog, les représentants du fournisseur évoquent la gratuité des secrets, mais le service n’a rien de gratuit : établir des versions de clés est nécessaire pour gérer correctement les ressources de Vault, à moins de se limiter à 20 clés.

La gestion des clés et des coffres se veut plus contrôlée. Elle est donc moins permissive. En témoigne l’impossibilité de migrer les clés entre régions cloud, et le faible nombre d’algorithmes de chiffrement utilisés. De même, il n’y a pas d’information concernant la gestion du chiffrement pour des applications tierces gérées par un éditeur SaaS.

Les clients chiffrent ici les informations des services et des applications hébergés sur l’infrastructure Oracle. Il faut dire que le fournisseur a fait évoluer son service en avril 2020, la peinture semble encore un peu fraîche commercialement parlant. Techniquement, la documentation est très claire concernant le fonctionnement du service.

Pour approfondir sur Sécurité du Cloud

Close