Google autorise désormais les développeurs à apporter leurs propres clés de chiffrement
sur Compute Engine
Google essaye de rattraper son petit retard en termes de flexibilité dans le chiffrement sur sa plateforme Cloud. Si Microsoft et Amazon avaient déjà proposé un chiffrement BYOK (Bring Your Own Key), Mountain View ne le permettait pas encore.
Aussi, Google a annoncé l’ajout de la fonctionnalité Customer-Supplied Encryption Keys sur sa plateforme Cloud Google Compute Engine. Encore en version bêta, elle devrait leur permettre d’apporter leurs propres clés pour chiffrer leurs ressources. Pour rappel, Google Compute Engine chiffre par défaut toutes les données au repos et s’occupe de gérer ce chiffrement sans action supplémentaire de votre part. Cependant, si vous voulez contrôler et gérer ce chiffrement vous-même, vous pouvez fournir vos propres clés de chiffrement.
« Google Compute Engine protège déjà les données des utilisateurs avec un chiffrement industriel standard AES-256 bit. Customer-Supplied Encryption Keys épouse le framework de chiffrement renforcé qui est intégré à l’infrastructure Google avec des clés de chiffrement que vous possédez et contrôlez exclusivement. Vous créez et possédez la clé, vous déterminez quand les données sont actives ou au repos et absolument personne à l’intérieur ou à l’extérieur de Google ne peut accéder à vos données au repos sans avoir en sa possession la clé. Google ne conserve pas votre clé, et ne la détient que provisoirement afin de répondre à votre demande », a expliqué Leonard Law, gestionnaire produit chez Google.
Si Google ne conserve pas vos clés sur ses serveurs, cela signifie également que si vous oubliez ou perdez votre clé, Mountain View ne « dispose d’aucun moyen pour restaurer votre clé ou restaurer une donnée quelconque chiffrée avec la clé égarée ».
Google présente sa solution comme étant compréhensive dans le sens où « contrairement à d’autres solutions, Customer-Supplied Encryption Keys couvre TOUTES formes de données au repos pour Compute Engine, qu’il s’agisse de volumes de données, de disques boot et même de SSDs ». Il faut dire par exemple que dans le programme de gestion des droits BYOK sur Azure, les clés fournies par les utilisateurs ne fonctionnent pas avec Exchange Online ; seules les clés fournies par Microsoft couvrent cette zone. Ceci étant, Microsoft a laissé entendre que ce ne serait pas définitif, même si Redmond n’a pas donné une date à laquelle BYOK fonctionnerait avec Exchange Online.
Google avance également qu’il n’y aura pas de paiement supplémentaire à faire pour utiliser ce service (gratuit). Même son de cloche du côté de la concurrence puisque ni Azure ni Amazon ne demandent de payer dans le cadre du programme BYOK.
Notons qu’Azure et Amazon offrent tous les deux une fonctionnalité que Google ne propose pas encore dans son éventail de services : un système de gestion de clé sur le Cloud. Du côté d’Azure, il est baptisé Azure Key Vault tandis que chez Amazon, il s’appelle Key Management Service.
En tant que bêta, Customer-Supplied Encryption Keys vient avec des mises en garde : « cette fonctionnalité n’est pas couverte par une SLA et peut être soumise à des changements rétro compatibles », rappelons qu’une SLA (Service Level Agreement) est une sorte de contrat dans lequel est formalisée la qualité du service dont il est question. Le service est également limité à certains pays présélectionnés et embarque quelques limitations techniques comme le fait que seuls les nouveaux disques persistants créés peuvent être chiffrés avec sa propre clé, pas les disques persistants qui existent déjà.
Source : BlogSpot
Partager