Les services de chiffrement de Microsoft : Azure Key Vault

Comment chiffrer ses données et ses identifiants applicatifs quand on est client de Microsoft Azure ? Le géant du cloud a lancé en 2015 un service dédié à ce type d’opérations. Voici ses fonctions, ses qualités et les défauts les plus visibles.

Nous poursuivons notre revue des services cloud de chiffrement proposés par les fournisseurs cloud. Ici, nous établissons le portrait des produits Azure Key Vault et Azure Key Vault Managed HSM.

Suite de l'article ci-dessous

Le KMS Azure Key Vault a plusieurs fonctions : la gestion de secrets, des clés de chiffrement et des certificats SSL/TLS ainsi que la surveillance des opérations depuis Azure Monitor. La protection offerte peut être logicielle (RSA, EC) ou matérielle (RSA-HSM, EC-HSM). Les modules HSM de Microsoft sont certifiés FIPS 140-2 de niveau 2. Le fournisseur précise que ses modules de sécurité sont conçus par nCipher (cédé par Thales à Entrust DataCard en 2019). Dès lors, l’importation de clés BYOK (« Bring You Own Key ») avec ce HSM se fait via les outils nCipher.

Une deuxième méthode a été mise en place pour les utilisateurs de HSM Thales, Fortanix, Marvell et CryptoMathic. Elle permet d’importer des clés asymétriques RSA 2048, 3 072 et 4 096 octets. Les clés elles-mêmes correspondent à des objets JSON. Azure Key vault prend en charge les algorithmes EC-P256, EC-P256K, EC-P384, EC-521, RSA 2K, 3K, 4K, et AES 128 bits, 256 bits (plusieurs méthodes de chiffrement et de hashs y sont associées).

Azure Key Vault, une solution pensée à l’origine pour protéger les secrets applicatifs

Comme AWS, Microsoft assure que « Azure Key Vault a été conçu de façon que Microsoft ne puisse pas visualiser ni extraire vos données ». Il s’agit d’un service relié à Azure Active Directory, le service d’annuaire de Microsoft pour la gestion d’identité. Le service peut être appelé par diverses API pour protéger des données dans des applications conçues par les développeurs et des contenus hébergés. Azure Key Vault a également pour fonction de séparer les secrets des applications. Les méthodes d’intégration varient selon le type de services à protéger.

Azure Key Vault comprend un ensemble de ressources qu’un utilisateur peut appeler via Azure CLI et Azure Power Shell. Depuis cette interface, un développeur appelle les ressources, créer les coffres de clés, y ajoute des secrets et les intègrent en périphérie de VM, de containers et de certains services. Il est possible et même recommandé de configurer des backups ainsi que d’activer les options de récupérations (dont la suppression réversible jusqu’à 90 jours).

S’il est envisageable de gérer les accès aux différents coffres de clés, il n’est pas possible de compartimenter le contenu d’un coffre. En clair, une fois l’accès au coffre utilisé, l’utilisateur peut en consulter l’intégralité du contenu, selon Yannick Beot Architecte Cloud Azure Entreprise solution center, chez Exakis Nelite. « Ce n’est pas grave. Il suffit de multiplier les coffres Key Vault afin d’établir des périmètres d’accès plus limités, mais plus cohérents par rapport aux éléments à protéger », recommande-t-il.

Si Azure Key Vault permet avant tout de séparer des identifiants du code des applications, il est également possible de gérer le chiffrement du stockage Azure (disques, blobs, VMs et containers), du TDE d’Azure SQL, d’Azure Kubernetes Service, d’Azure Databricks et d’Azure Synapse avec des clés asymétriques. Microsoft gère lui-même le chiffrement des services Office 365, mais les clients peuvent s’occuper du chiffrement de leurs applications personnalisées.

Une organisation peut tout de même gérer des clés client BYOK pour certains services depuis Azure Key Vault : Exchange Online, SharePoint Online et OneDrive entreprise. La FAQ d’Azure indique qu’il est possible de gérer le chiffrement de données d’applications tierces dans son cloud, en local et même sur des « cloud tiers ». La documentation ne donne pas d’exemple, mais une vidéo publiée en 2016 par l’équipe de Microsoft France permet d’en expliquer les grands principes.

Dernièrement, Azure a présenté une nouvelle manière de gérer les secrets, les clés et les certificats. Azure Key Vault est intégré avec Azure Event Grid et divers services dont Azure Logic Apps, Azure Functions ou encore Webhooks. Cela permet d’automatiser les opérations de chiffrement après notification via un système Pub/Sub quand « le statut d’un secret est sur le point d’expirer, a expiré ou lorsqu’une nouvelle version est disponible », précise la documentation du géant du cloud.

Selon les retours des utilisateurs sur G2, il manquerait une fonctionnalité pour faciliter la recherche des clés, tandis que la prise en main pourrait être plus simple.

Les tarifs d’Azure Key Vault

Microsoft Azure Key Vault est disponible dans l’ensemble des régions cloud de Microsoft Azure. La firme propose deux niveaux de service : standard et premium. Dans les deux cas, les opérations de chiffrement et d’édition de certificats sont facturées à 0,03 dollar pour 10 000 transactions. Les renouvellements de certificats sont facturés 3 dollars par demande. Chaque rotation de clé de compte stockage Azure coûte 1 dollar. Le chiffrement asymétrique RSA 2048 est affiché au même prix que les opérations de chiffrement symétrique, tandis que les opérations avec les clés RSA 3072, 4096 et ECC sont facturés 0,15 dollar pour 10 000 transactions.

Pour ce qui est du chiffrement matériel, il faut s’abonner à l’offre Premium. Les clés RSA 2048 coûtent 1 dollar par mois chacune en plus des frais liés aux opérations (0,03 dollar pour 10 000 transactions). Pour les clés « avancées » (RSA 3072, 4 096 et ECC), il faut compter 5 dollars par clé par mois pour les 250 premières, 2,50 dollars par clé par mois jusqu’à 1 500 clés, 0,90 par clé par mois jusqu’à 4 000 clés et au-delà, 0,40 dollar par clé par mois. Il faut ajouter 0,15 dollar pour 10 000 transactions (appels de clés). Le support technique est disponible à partir de 29 dollars par mois et le SLA couvre 99,9 % du temps d’utilisation.

Azure Key Vault Managed HSM : des modules « monolocataires » à prix d’or

Le géant du cloud a également lancé une solution en préversion publique Azure Key Vault Managed HSM. Cette offre apporte des modules matériels dédiés monolocataires, managés par Azure et conformes à la norme FIPS 140-2 de niveau 3. Cela entraîne la création de nouvelles ressources nommées Managed HSM. Il est possible de migrer les coffres HSM déjà créés avec la version mutualisée d’Azure Key Vault. Attention, Managed HSM ne prend pas en charge les clés protégées par logiciel. À l’instar de ses concurrents, la firme de Redmond assure l’isolation des clusters HSM au sein du périmètre du client, auquel s’ajoute un RBAC pour la gestion des rôles. Pour le moment, Microsoft propose des intégrations pour chiffrer les données au repos d’Azure Storage, Azure SQL et Azure Information Protection.

Il est également possible d’importer des clés KEK et des clés cibles (RSA 2048, 3072, 4096 bits) d’un HSM sur site, toujours via Azure CLI et Azure Cloud Shell (les HSM locaux compatibles sont listés dans la documentation par fournisseur : nCipher, Thales, Fortanix, Marvell et Crypthomatic).

Là encore, Azure Monitor doit permettre d’auditer les logs émis par Managed HSM et il faut déployer au moins deux clusters placés dans deux zones de disponibilités différentes. Lancé le 15 septembre 2020 (officiellement annoncé le 22 septembre), le service est disponible dans les régions West US 2, Central India, South India, Japan East, Japan West, Switzerland West et Switzerland North. Les équipements utilisés par le fournisseur sont très populaires chez les cloudistes américains : les adaptateurs HSM Marvell LiquidSecurity.

En revanche, le géant du cloud propose une tarification différente, établie à 4,85 dollars par HSM par heure. Sachant qu’il est recommandé de disposer de deux instances pour éviter les pannes, il convient de payer 7 081 dollars pour deux HSM sur un mois (1 mois représente 730 heures, un HSM revient à 3 540 dollars par mois), soit deux fois le prix du même service chez AWS (qui plus est, basé sur le même matériel) et chez IBM.

Edit : Microsoft Azure dispose également d'une offre Dedicated HSM, un HSM monolocataire non managé reposant sur une appliance SafeNet Luna Network HSM 7 A790. Les tarifs ne sont pas renseignés. Le client en a l'administration exclusive, selon le fournisseur.

Pour approfondir sur Gestion de la sécurité

Close