DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Meilleures Pratiques de Gestion des Clés de Chiffrement

Meilleures Pratiques de Gestion des Clés de Chiffrement

Gestion Centralisée des Clés

Centralisez votre système de gestion des clés. Par exemple, l’architecture suivante peut être considérée comme bien adaptée à la majorité des entreprises :

Un nœud de chiffrement et de déchiffrement existe à tout point du réseau de l’entreprise. Les composants de gestion des clés peuvent être déployés sur différents nœuds et peuvent être intégrés à toute application de chiffrement. Un tel système vous permet d’avoir tous les mécanismes de chiffrement et de déchiffrement au niveau du nœud où le chiffrement/déchiffrement est effectué.


Profils Utilisateurs Centralisés pour l’Authentification

L’accès à vos données sensibles doit être basé sur des profils utilisateurs définis dans votre gestionnaire de clés. Ainsi, seuls les utilisateurs correctement authentifiés devraient avoir le privilège d’accéder aux ressources chiffrées. Un administrateur devrait être responsable de la gestion des profils utilisateurs. La meilleure pratique est de construire votre système de gestion des clés de telle manière qu’aucun utilisateur unique n’ait accès exclusif aux clés.


Séparer les Processus de Chiffrement et de Déchiffrement

Vous pouvez mettre en œuvre votre système de chiffrement/déchiffrement au niveau local et le distribuer dans toute l’organisation ou le mettre en œuvre à un emplacement centralisé sur un serveur de chiffrement distinct. Notez que tous les nœuds doivent utiliser les mêmes normes, règles et niveaux de qualité. Cette approche présente les avantages suivants :

  • Performance supérieure
  • Moins de bande passante réseau
  • Haute disponibilité
  • Amélioration de la transmission des données

Notez que si les processus de chiffrement et de déchiffrement sont distribués, le processus de gestion des clés doit garantir une distribution sécurisée des clés.


Principe du Moindre Privilège

C’est un principe de base de l’utilisation de toute application, y compris les applications de chiffrement. Il est recommandé de ne pas utiliser de privilèges d’administrateur lors de l’utilisation de toute application, sauf si cela est absolument nécessaire, car cela rend les applications extrêmement vulnérables aux menaces internes et externes.


Support de Mécanismes de Chiffrement Multiples

Votre entreprise doit être prête pour les fusions et acquisitions, il serait donc préférable de construire votre système de chiffrement avec la capacité de supporter différentes technologies de chiffrement. Bien sûr, vous n’avez pas besoin de mettre en œuvre toutes les technologies de chiffrement disponibles, mais celles qui sont des normes majeures de l’industrie.


Solution Commune de Chiffrement et de Déchiffrement pour Toutes les Applications

Il est fortement recommandé d’utiliser un mécanisme de chiffrement commun pour les colonnes de base de données et les fichiers. Il doit être capable d’identifier les données sensibles à chiffrer. Une fois chiffrées, les données doivent être accessibles uniquement par les utilisateurs disposant des privilèges appropriés, sur la base des droits utilisateurs spécifiques à l’application. Les droits doivent être contrôlés par l’administrateur.


Pas de Déchiffrement ou de Rechiffrement en Cas de Rotation ou d’Expiration des Clés

Chaque fichier chiffré doit avoir un fichier de clé associé pour identifier les ressources à utiliser pour déchiffrer les données contenues dans le fichier. Cela signifie que votre système ne doit pas déchiffrer un ensemble de données chiffré puis le rechiffrer lorsque les clés expirent ou changent. Dans ce scénario, les données récemment chiffrées seraient déchiffrées en utilisant la clé récente et la clé ancienne correspondante serait récupérée pour déchiffrer les données existantes.


Intégration avec des Applications Tiers

C’est une approche courante dans les entreprises d’avoir un grand nombre d’appareils externes. Ces appareils peuvent être des dispositifs de point de vente (POS) dispersés sur le réseau. Ils n’ont pas d’applications typiques orientées base de données et sont dédiés à une seule fonction, en utilisant des outils propriétaires. Il est toujours bon d’utiliser un mécanisme de chiffrement facilement intégrable avec toute application tierce.

Parfois, les entreprises possèdent un grand nombre d’appareils externes tels que des appareils POS (point de vente) inclus dans le réseau de l’entreprise. De tels dispositifs ne peuvent généralement pas interagir directement avec les bases de données mais sont conçus pour fonctionner avec des outils propriétaires. Il est donc préférable d’avoir un mécanisme de chiffrement compatible avec les applications tierces.


Journalisation et Traçabilité

Une journalisation étendue est essentielle lors de l’utilisation de multiples applications distribuées et constitue un élément important de la gestion des clés. Chaque accès aux données chiffrées doit être journalisé afin de pouvoir suivre l’utilisateur final essayant d’accéder aux données chiffrées. Les journaux doivent inclure les points suivants :

  • Requête utilisée pour accéder aux données
  • Détails de l’utilisateur
  • Ressources utilisées pour chiffrer les données
  • Colonnes de la base de données consultées
  • Moment de l’accès aux données

Sauvegardes Régulières

Sauvegardez vos bases de données fréquemment ! La meilleure pratique est de faire des sauvegardes de vos données sensibles tous les jours, d’avoir un scénario de restauration des données et de faire des vérifications périodiques de l’application que vous utilisez pour les sauvegardes.

Suivant

Directives de Sécurité pour les Systèmes de Gestion de Bases de Données

Directives de Sécurité pour les Systèmes de Gestion de Bases de Données

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]