fbpx
O F E P

Loading

Encryption et gestion des accès avec Thales Vormetric couplé à CyberArk PAM

vormetric cyberark
Intégrer CyberArk et Vormetric

Afin de contrôler aux mieux les accès vers vos données, une solution d’offre à vous: coupler la solution de Privileged Access Management (PAM) de CyberArk à la console de Vormetric Data Security Manager (DSM).

La console Vormetric DSM est au coeur de la solution Vormetric (VTE Vormetric Transparent Encryption). Cette console permet de gérer les clés d’encryption et les différents agents installés sur les serveurs (typiquement des bases de données).

La console DSM ne permet pas actuellement de s’intégrer avec votre Identity Provider (idp), ce qui peut présenter un désavantage si l’idp est votre référence en terme d’authentification.

De plus, la solution PAM avec ses options d’autorisation et d’audit (« screen recording ») permet de contrôler au mieux les accès, ce qui est un avantage indéniable quand il s’agit de la gestion de clés d’encryption.

Un petit exemple vaut mieux qu’un long discours, la démo démontre un environement labo CyberArk (PVWA), la connexion vers un DSM (hosté dans AWS – malheureusement plus disponible sur le AWS market actuellement), un script de login développé pour le projet.

 

 

 

 

Encryption « at rest »

[:fr]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

Encryption

Les motivations sont multiples:

  • Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
  • Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
  • Compliance (par exemple PCI)
  • Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

  • Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
  • Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

  • Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
  • L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
  • Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
  • L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

 

[:en]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

799px Encryption illustration 20180112

Les motivations sont multiples:

  • Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
  • Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
  • Compliance (par exemple PCI)
  • Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

  • Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
  • Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

  • Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
  • L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
  • Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
  • L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

 

[:]