Fournir Et Sécuriser Des Jetons Et Des Secrets Dans EMP

Introduction

La plate-forme de gestion du chiffrement (EMP) de phoenixNAP est un système centralisé qui assure la sécurité des données sur plusieurs fournisseurs de cloud et infrastructures multi-cloud. Avec une sécurité intégrée pour tous les besoins de protection des données, il protège les clés de chiffrement, les secrets et les jetons.

Dans cet article, vous apprendrez à provisionner des objets de sécurité et à sécuriser tous vos secrets.

Premiers Pas Avec Les Objets De Sécurité

Pour commencer à travailler avec des objets de sécurité, connectez-vous à Encryption Management Platform et accédez à la section Objets de sécurité dans la barre latérale à gauche.

Vous pouvez créer/importer un nouvel objet de sécurité (A) ou gérer ceux qui existent déjà (B).

Ajouter Un Nouvel Objet De Sécurité

Pour ajouter un nouvel objet de sécurité, cliquez sur le signe plus et saisissez les informations suivantes :

  1. Un nom pour l’objet de sécurité.
  2. Une courte description.
  3. Affectez-le à un groupe existant ou créez un nouveau groupe auquel l’objet appartiendra.
  4. Choisissez si vous souhaitez importer ou générer un objet de sécurité.

Option 1 : Importer Des Objets De Sécurité

Pour importer un objet de sécurité existant, suivez les étapes décrites ci-dessous.

  1. Sélectionnez IMPORTER lors de l’ajout d’un nouveau SO.

Remarque : EMP vous permet d’importer un objet de sécurité depuis les composants. Pour ce faire, vous devez définir une stratégie de groupe de dépositaire de clés pour permettre l’importation de clés à partir de composants. Cette fonctionnalité s’applique aux types de clé AES, DES et DES3.

2. Spécifiez le type de clé que vous souhaitez importer.

3. Si vous importez un type de clé AES, DES, DES3, DSA ou HMAC à partir d’un fichier, il est probable que la clé soit déjà chiffrée. Si oui, cochez la case : La clé a été chiffrée . Ensuite, sélectionnez la clé de chiffrement de clé utilisée pour cette instance spécifique.

  1. Choisissez le format du fichier ( Raw , Base64 ou Hex ) que vous souhaitez importer.
  2. Télécharger le fichier sur EMP.
  1. Sélectionnez les opérations clés que vous souhaitez autoriser. En raison de la politique cryptographique, certaines opérations seront désactivées en fonction du type de clé spécifié à l’étape 2.
  2. Par défaut, EMP active la journalisation d’audit afin de conserver un journal d’audit complet pour cet objet. Si vous souhaitez augmenter les performances, décochez la case pour désactiver la journalisation.
  3. Enfin, cliquez sur IMPORTER pour importer la nouvelle clé de sécurité.

Option 2 : Générer Des Objets De Sécurité

Pour générer un SO à l’aide d’EMP :

  1. Sélectionnez GENERATE lors de l’ajout d’un nouvel objet de sécurité.
  2. Choisissez le type de clé que vous souhaitez générer.

Remarque : si vous optez pour la tokenisation, passez aux étapes de configuration d’un jeton d’objet de sécurité.

3. Ensuite, définissez la taille de la clé. Les valeurs autorisées dépendent du type de clé.

  1. Choisissez les opérations clés que vous souhaitez autoriser. Certaines des opérations seront désactivées en fonction du type de clé spécifié à l’étape 2.
  2. Par défaut, EMP active la journalisation d’audit afin de conserver un journal d’audit complet pour cet objet. Pour augmenter les performances, décochez la case pour désactiver la journalisation.
  3. Enfin, cliquez sur GÉNÉRER pour importer la nouvelle clé de sécurité.

Tokénisation

Générez une clé à l’aide de la fonction de tokenisation EMP pour les informations de carte de crédit, les numéros d’identification et d’autres informations sensibles. Les jetons remplacent les données classifiées par des identifiants alphanumériques générés de manière aléatoire.

  1. Pour créer un jeton, commencez par sélectionner Tokenisation lors du choix du type de clé que vous souhaitez générer.
  2. Sélectionnez l’une des quatre catégories auxquelles appartient le jeton d’objet de sécurité :
    • Général
    • Numéros d’identification (États-Unis)
    • Numéros de service militaire (États-Unis)
    • Personnalisé
  1. L’étape suivante consiste à choisir les opérations de clé autorisées. Par défaut, la tokenisation, la détokénisation et la gestion des applications sont activées, tandis que d’autres opérations sont désactivées en raison de la politique de chiffrement.
  2. EMP active la journalisation d’audit par défaut pour conserver un journal d’audit complet pour cet objet. Si vous préférez ne pas le faire, décochez la case pour désactiver la journalisation.
  3. Enfin, cliquez sur GENERATE pour créer un nouveau jeton d’objet de sécurité avec la configuration spécifiée.

Types de jetons d’objet de sécurité

Le type de jetons que vous pouvez générer comprend :

  1. Général
  2. Numéros de service militaire (États-Unis)
    • Numéro de service de l’armée et de l’armée de l’air (États-Unis)
    • Numéro de service de la marine (États-Unis)
    • Numéro de service de la Garde côtière (États-Unis)
    • Numéro de service du Corps des Marines (États-Unis)
    • Numéro de service du bureau militaire (États-Unis)
  3. Personnalisé
    • Chiffres uniquement
    • Hexadécimaux
    • Alphanumérique

Une fois que vous avez sélectionné le jeton, vous devez spécifier le type de tokenisation que vous souhaitez qu’il ait. Il existe quatre principaux types de tokenisation :

  • Jeton complet – masquant le jeton entier.
  • Jeton + 4 derniers chiffres – masquant le jeton entier à l’exception des quatre derniers chiffres.
  • 6 premiers chiffres + jeton – masquant tout le jeton à l’exception des six premiers chiffres.
  • 6 premiers chiffres + jeton + quatre derniers chiffres – masquant le jeton entier à l’exception des six premiers chiffres et des quatre derniers chiffres.

Pour plus de sécurité, vous pouvez activer l’ option Ajouter un motif de masquage pour remplacer les chiffres sélectionnés du jeton par des astérisques (*).

Travailler Avec Des Objets De Sécurité

De nouveaux secrets et clés apparaissent sur la liste de la page principale, comme dans l’image ci-dessous.

La liste affiche :

  • Le nom de l’objet de sécurité
  • Son KCV
  • Les opérations de touches activées
  • Le groupe auquel il appartient
  • L’utilisateur qui a créé le groupe
  • Depuis combien de temps a-t-il été créé
  • Le type de SO
  • La taille du SO
  • Lorsque la SO expire

Cliquez sur la ligne pour voir plus de détails sur chaque objet de la liste. Cela vous amène à une nouvelle page avec une description détaillée de la configuration SO.

Attributs/balises D’objet De Sécurité

Chaque SO a des attributs/tags, que vous pouvez voir en passant à l’ onglet ATTRIBUTS / TAGS situé à côté de INFO . Ils comprennent:

PKCS #11 et CNG – attributs standard attribués en fonction des spécifications SO.

Attributs personnalisés – attributs que l’utilisateur peut définir et ajouter aux métadonnées du SO. Vous pouvez facilement ajouter des attributs personnalisés si nécessaire en cliquant sur le bouton bleu.

Rotation Des Clés

phoenixNAP EMP inclut la fonction de rotation de clé pour les objets de sécurité qui vous permet de remplacer une ancienne clé de chiffrement par une nouvelle clé cryptographique.

Vous trouverez l’option de rotation des clés dans la vue détaillée de l’objet de sécurité.

Une fois que vous cliquez sur ROTATE KEY , une nouvelle fenêtre s’ouvre. Si vous souhaitez désactiver la clé d’origine après la rotation, cochez la case avant de confirmer avec le bouton ROTATE KEY .

Remarque : Pour plus d’informations sur la fonction de rotation des clés, reportez-vous au guide de l’utilisateur Fortanix officiel.

État De L’objet De Sécurité

L’état du SO indique si les utilisateurs peuvent utiliser le SO pour les opérations cryptographiques. Un objet de sécurité peut être :

  • pré-actif (a une date d’activation dans le futur et n’est pas opérationnel avant la date spécifiée)
  • actif (peut être utilisé pour les opérations cryptographiques)
  • désactivé/désactivé (ne peut pas être utilisé pour les opérations cryptographiques)
  • détruit (la clé est désactivée, le matériel de clé est perdu et il ne peut plus être utilisé)

L’état actuel est indiqué par un trait vert.

Une clé devient désactivée si elle est désactivée manuellement par un utilisateur ou si elle atteint sa date d’expiration. Lors de la création d’un nouvel objet de sécurité, la configuration par défaut n’expire jamais.

Vous pouvez modifier ce paramètre dans la vue SO détaillée et ajouter une date à laquelle vous souhaitez que la clé passe à l’état désactivé.

Noter:

Activer/désactiver les objets de sécurité

Vous pouvez facilement activer ou désactiver les objets de sécurité en activant ou en désactivant le champ Activé dans la vue détaillée de la clé. Lorsqu’un responsable de la sécurité est désactivé, il ne peut effectuer aucune opération de chiffrement. Cependant, le matériel et les données clés sont enregistrés et peuvent être facilement activés à tout moment.

Comment Supprimer/détruire Des Objets De Sécurité

Il existe deux manières de supprimer une clé dans EMP :

  • Supprimer . Supprimer un SO signifie supprimer définitivement le matériel de clé et ses métadonnées. L’action ne peut pas être annulée et l’objet ne peut pas être restauré une fois supprimé.
  • Détruire . Détruire une clé signifie la mettre dans un état désactivé irréversible et supprimer le matériel de la clé. Bien que le SO ne puisse plus être utilisé, ses métadonnées sont conservées.

Conclusion

Cet article a-t-il été utile?

Oui Non

ARTICLES CONNEXESPLUS DE L'AUTEUR