Windows Azure : nouveau service de gestion des clés de chiffrement
Microsoft vient de présenter Key Vault, un service de gestion des clés de chiffrement adossé à son PaaS.
Microsoft vient de présenter Key Vault, un service de gestion des clés de chiffrement adossé à son PaaS Azure.
Dans un billet de blog, Corey Sanders, directeur de la gestion des programmes pour Widows Azure, explique vouloir proposer une alternative aux modules de sécurité matériels (HSM) déployés sous la forme d’appliances en ligne, « qui sont couteuses et difficiles à administrer ».
Key Vault doit ainsi permettre de protéger les clés de chiffrement et les données sensibles avec des clés asymétriques en s’appuyant sur des HSM assortis des certifications FIPS 140-2 niveau 2 et EAL4+. Outre le stockage sécurisé de clés, le service doit permettre d’accélérer le provisionnement de nouvelles clés et de nouveaux coffres forts à clés en l’espace de queques minutes, tout en offrant une administration centralisée des données sensibles, gage d’un contrôle et d’une visibilité renforcés.
Les capacités d’audit offertes par le service sont d’ailleurs mises en avant par Microsoft. Mais bien sûr, Key Vault a aussi (sinon surtout) vocation à chiffrer les bases de données SQL sans les machines virtuelles Azure et à protéger ces machines virtuelles avec SecureVM de CloudLink.
Pour l’heure, Key Vault est disponible sous la forme d’une pré-version, notamment en Europe de l’Ouest et du Nord.
La tarification est à l'usage, à partir de 0,37 euros par clé matérielle et par mois, plus 1,12 ct par lot de 10 000 opérations.
Même si Key Vault est une préversion, Microsoft souligne que le service est déjà mature : « c’est réellement l’incarnation de offre Azure RMS Bring-your-own-key, âgée de 18 mois, qui est en production pour le monde entier et sert à Office 365 ».
Reste que cette offre n’est pas une première. SafeNet avait ainsi présenté un service de gestion des clés de chiffrement en mode Cloud en avril 2013. Quant à Amazon, il s’était déjà lancé sur ce créneau avec son service CloudHSM, avant de présent AWS Key Management Service (KMS) en novembre dernier.