Les services de chiffrement de GCP : Cloud KMS, Cloud HSM et Cloud EKM

Que valent les services de chiffrement de Google Cloud Platform ? Cet article tente de brosser le portrait de trois produits du géant du cloud. Attention aux subtilités.

Après avoir déchiffré les services de chiffrement d’AWS, nous nous intéressons aux équivalents chez Google Cloud Platform. GCP en propose trois : Google Cloud KMS, Cloud HSM et Cloud EKM.

Suite de l'article ci-dessous

Google Cloud Platform présente son service Cloud KMS comme un outil de gestion de clés de chiffrement des clients (CMEK) qui reprend les fonctionnalités d’un Key Management Service sur site. Il offre la possibilité de créer, d’utiliser, d’importer et de détruire des clés cryptographiques AES 256 symétriques et des clés asymétriques RSA 2048, 3072, 4096, ECP256 et EC P384, selon la documentation du géant du cloud.

Une API Rest assure le chiffrement et le déchiffrement : ces opérations sont purement logicielles dans ce cas-là (Google distingue trois types de clés : SOFTWARE, HSM et EXTERNAL). Cette interface de programmation peut également être appelée pour la signature numérique de données. Les commandes sont réalisées depuis la Cloud Console et les clés sont générées grâce à un « générateur de nombres aléatoires (GNA) élaboré par Google », dixit la documentation.

Les algorithmes de chiffrement sont appelés via BoringSSL (une variante Google d’OpenSSL). Là encore, le service permet de définir une rotation automatique des clés et de restreindre les accès via le service Cloud IAM. L’audit des logs peut être réalisé grâce au service Cloud Audit Logging. À noter que GCP impose un délai de 24 heures avant la destruction des clés. Ici, il n’y a pas de limite concernant les types de clés asymétriques ou symétriques. Les textes bruts et chiffrés ont une taille de bloc de 64 kibioctets.

Par ailleurs, Cloud Key Management Service est pourvue d’une option de haute disponibilité.

Les tarifs de Google Cloud KMS

Avec Cloud KMS, le client est facturé 0.025562999 euro toutes les 10 000 opérations, et chaque version de clés coûte 0.051125999 euro par mois. Le service permet de protéger les données dans AI Platform Training, BigQuery (risque de suppression de tables au bout de 60 jours), Compute Engine, GKE, Dataflow, Dataproc, Cloud Logging, Pub/Sub, Cloud SQL et Cloud Storage (ne fonctionne pas avec le transfert de données) avec des clés de chiffrement gérées par le client (CMEK).

L’ensemble des données d’applications contenues dans les services Google Cloud Platform peuvent être chiffrées par le client, ce qui n’est pas le cas pour les produits Google Workspace (G Suite) comme Gmail. Google gère lui-même la sécurité des informations en transit et en repos pour ces services. Le SLA est de 99,5 %. Si la chose est moins documentée par Google, des éditeurs tiers peuvent s’intégrer avec l’instance d’un client, comme le fait Haschicorp avec son produit de gestion de secrets Vault.

Google Cloud HSM, un service à l’accessibilité pour le moins spéciale

Depuis août 2018, GCP propose également une protection matérielle avec le service Cloud HSM. Le module matériel est certifié FIPS 140-2 de niveau 3, il s’agit tout comme AWS des HSM Marvell LiquidSecurity. La taille de bloc passe à 16 384 octets. Google Cloud HSM repose sur l’interface de Cloud KMS. Il est également possible d’importer des clés issues d’un HSM via une API. Que ce soit pour les clés SOFTWARE, HSM ou EXTERNAL, il faut créer une clé cible rattachée à un trousseau dans Cloud HSM ou KMS avant d’importer une version de clé. Il est possible d’encapsuler manuellement ou automatiquement, les clés à importer avec OpenSSL.

Les tarifs de Google Cloud HSM

Par défaut, Google Cloud HSM dépend d’une infrastructure mutualisée. Pour obtenir un module HSM dédié, la documentation indique qu’il faut contacter son responsable de compte. Cela permet à Google de proposer des tarifs relativement bas : les opérations de clés AES-256 et RSA 2048 sont facturées 0.025562999 euro pour 10 000 requêtes. Ce tarif passe à 0.127814999 euro pour 10 000 opérations pour les clés RSA 3072, 4096, EC P256, et EC P384.
Les versions de clés AES 256 et RSA 2048 coûtent
0.852099999 euro par mois, les versions de clés RSA 3072, 4 096 EC P256 et P384 sont facturées 2.130249999 euros pour 2 000 versions et 0.852099999 euro au-delà (les prix exacts sont mentionnés ici pour retranscrire la pénibilité d’utilisation de Google SKU N.D.L.R.).

Les contrats de niveau de service couvrent 99,95 % des opérations de chiffrement, déchiffrement et de signature numérique. Le nombre de requêtes HSM par seconde (RPS) est de 500 pour les opérations de chiffrement symétriques et de 50 RPS pour le chiffrement asymétrique. Cloud KMS est notamment disponible dans les six régions cloud européennes (Belgique, Londres, Francfort, Pays-Bas, Zurich, Finlande). Cloud HSM n’est pas disponible en Finlande, Pays-Bas et Belgique.
Pour un chiffrement matériel (et cela concerne les clients français qui n’hébergent pas leurs données à Londres, Francfort ou Zurich), il faut passer par Cloud EKM.
Autre solution pour profiter de Cloud HSM, choisir la région globale Europe, mais « Il n’est pas possible de prédire ni de contrôler exactement quels centres de données sont sélectionnés, ni le lieu où ils se trouvent dans la zone multirégionale », indique la documentation.

« Actuellement, les opérations de clé portant sur des clés stockées dans Cloud HSM peuvent entraîner une latence nettement supérieure à celle obtenue avec les clés logicielles Cloud KMS », prévient par ailleurs le document.

Cloud EKM : le HSM externalisé, encore un peu limité

La gestion des clés par un prestataire tiers est ici dépendante d’un service supplémentaire : Cloud EKM (External Key Manager). Avec ce service, « les clés ne sont jamais stockées sur GCP » et la gestion est centralisée depuis un système externe. Les limitations sont toutefois importantes. Ici, seules les clés symétriques gérées par le client en provenance de Compute Engine et BigQuery peuvent bénéficier d’une gestion par un tiers.

Les prestataires se comptent sur les doigts de la main pour l’instant : Fortanix, Thales, Ionic, Equinix SmartKey, et bientôt Ubound Tech. Logique, cette solution est disponible depuis la fin de l’année 2019. Avec Cloud EKM, les 10 000 opérations coûtent 0,03 dollar et 3 dollars par mois par version de clé (les prix ne sont pas disponibles en euro). Le SLA apporte une garantie 99,5 % du temps.

Pour approfondir sur Gestion d’identités

Close