Les services de chiffrement des fournisseurs cloud français

Après avoir fait le tour des services de chiffrement KMS et HSM des fournisseurs cloud américains, voici ce que proposent les acteurs français 3DS Outscale et Orange Business Services. OVHcloud, lui, fait bande à part.

Se protéger des lois extraterritoriales en choisissant un cloud dit « souverain » peut être un bon point. Le faire en s’assurant que les données sont protégées, c’est mieux. Pour cela, les opérateurs de cloud français 3DS Outscale et Orange Business Services proposent un service KMS pour leur cloud public.

3DS Outscale Key Management Service (OKMS)

3DS Outscale propose depuis décembre 2019 Outscale Key Management service.

Pour l’instant en bêta, ce service KMS managé permet de gérer les clés de chiffrement des services de la filiale de Dassault Systèmes et celles des applications des clients. Créer, générer, chiffrer/déchiffrer, renouveler, partager et importer les clés, on retrouve ici toutes les fonctionnalités classiques d’un KMS dans le cloud.

OKMS repose lui aussi sur un chiffrement d’enveloppe via des clés de chiffrement maître (Client Master Key – CMK) qui protègent des clés de chiffrement de données. Il n’est pas possible d’extraire une CMK de son HSM, mais simplement de l’utiliser suivant les permissions accordées aux utilisateurs, selon la documentation. 3DS Outscale fait appel à Gemalto qui lui fournit des modules HSM certifiés FIPS 140-2 de niveau 3.

Par défaut, le quota est de 20 CMK par compte. Les clés de chiffrement des données dépendent de générateurs AES 128, 256, jusqu’à 1024 bits de longueur. Les CMK, les fameuses biclés (l’une publique, l’autre privée), peuvent bénéficier d’un chiffrement RSA jusqu’à 4096 bits.

3DS Outscale n’affiche pas encore les tarifs de son service. Le fournisseur propose toutefois un moyen d’importer les clés de son propre KMS. Les clients peuvent aussi faire appel à des tiers de confiance pour gérer leurs clés. Pour l’instant OKMS n’est disponible que dans une région : EU West 2.

Orange Business Services Key Management Service

Orange Business Services propose un service similaire dont le fonctionnement est très proche. Pas de surprise ici, l’opérateur utilise lui aussi des HSM SafeNet Luna de Gemalto (en l’occurrence le modèle LunaSA 7000 HSM) pour protéger des CMK, des paires de clés SSH et des clés DEK. Ce service dépendant du cloud Orange Flexible Engine (basé sur OpenStack) peut être intégré avec les services OBS (stockage objet), SFS (système de fichiers partagés à la demande), EVS (stockage bloc élastique) et IMS (service de gestion des images de systèmes d’exploitation).

Le client peut également protéger les données de ses applications. Les clés CMK sont elles-mêmes protégées par des clés racines. L’appel des clés se fait via une API gérée par un service IAM. L’interface de programmation permet de gérer les opérations quotidiennes liées aux clés.

Les clés DEK sont chiffrées par les CMK et stockées dans un registre ciphertext hébergé dans l’instance HSM multitenant. Orange Business Service facture l’usage de son service au nombre de requêtes API, et de CMK utilisées à l’heure. Orange indique que les coffres sont régulièrement sauvegardés par le service Backup Storage qui offre des capacités de restauration. Si ce service est mutualisé, Orange Business Services peut déployer des HSM monolocataires respectant les exigences/recommandations de l’ANSSI à la demande du client, comme il l’a fait pour Cecurity.com.

Pas de KMS chez OVH Cloud, mais une qualification SecNumCloud pour son cloud privé

A contrario, OVH Cloud ne propose pas de service KMS. Les utilisateurs profitent d’une solution Let’s Encrypt incluse pour gérer les certificats SSL et il est possible de faire appel aux services de Sectigo. Le fournisseur permet la création de clés SSH (clés asymétriques RSA ou ECDSA) stockées dans une instance de cloud public. Cette opération est nécessaire pour accéder à une instance Public Cloud.  Deux méthodes existent suivant l’OS Linux ou Windows. OVH offre la possibilité de chiffrer des machines virtuelles en appelant un serveur KMS externe dans le cadre de son offre Hosted Private Cloud.

Afin de respecter les normes PCI DSS et accéder à la certification HDS, OVH propose une série de manipulations que ses clients Private Cloud peuvent effectuer. En revanche, cette offre cloud privé dispose de la qualification SecNumCloud, décernée par l’ANSSI quand elle est hébergée en France. Dans ce contexte, les données sont chiffrées et les clés gérées par défaut, c’est une des conditions d’obtention de la qualification. 3DS Outscale dispose également de cette qualification pour trois centres de données localisés en France, plus particulièrement pour son offre IaaS Cloud on Demand.

Pour approfondir sur Gestion de la sécurité

Close