Les clients de Google Compute Engine peuvent gérer leurs clés
Google propose en bêta de laisser les clients de son IaaS gérer eux-mêmes les clés utilisées pour le chiffrement de leurs données au repos.
Par défaut, l’IaaS de Google chiffre les données au repos de ses clients en AES-256, et se charge de la gestion des clés. Mais voilà, pour beaucoup de consommateurs de services Cloud, la maîtrise des clés de chiffrement est devenue une question sensible, notamment après les révélations sur les pratiques d’interception de la NSA.
Alors Google vient de proposer, à titre de bêta test, que certains de ses clients gèrent eux-mêmes leurs clés de chiffrement. Pour l’heure, cette possibilité est ouverte aux entreprises clientes de Google Compute Engine en Allemagne, au Canada, en France, au Japon, à Taïwan, aux Etats-Unis et au Royaume-Uni.
Une version bêta des API de l’API de Google est disponible pour profiter de cette nouvelle fonctionnalité. Celle-ci est en outre limitée aux disques persistants nouvellement créés : il n’est pas possible de basculer d’anciens disques vers ce nouveau modèle. La clé de chiffrement 256 bits doit être proposée encodée en base64. Elle peut être protégée par un certificat de clé publique RSA fournit par Google.
Avec cette démarche, Google marche dans les pas d’un Box qui propose aux entreprises, depuis février, de gérer elles-mêmes les clés servant au chiffrement de leurs données stockées sur le service Cloud. Box s’appuie pour cela sur le service Cloud HSM d’Amazon. Lancé en mars 2013, ce service permet de disposer d’une appliance dédiée au stockage des clés de chiffrement, et distincte des instances de stockage des données chiffrées. Cette appliance n’est autre qu’une version logicielle, virtualisée, d’un module de sécurité matériel signé SafeNet (HSM, ou Hardware Security Module), qui assure notamment l’authentification des certificats et le stockage des clés.
Microsoft propose depuis janvier d’un service comparable, Key Vault : celui-ci permet la gestion des clés de chiffrement en s’adossant à Azure. Key Vault a aussi (sinon surtout) vocation à chiffrer les bases de données SQL sans les machines virtuelles Azure et à protéger ces machines virtuelles avec SecureVM de CloudLink, racheté depuis par EMC.
Mais Key Vault n’est en fait que la suite naturelle d’une autre offre, Azure RMS Bring-your-own-key, en production dans le monde entier depuis bientôt deux ans.
Avec sa nouvelle offre, Google apparaît ainsi, plus que tout autre chose, rattraper son retard sur d’autres acteurs du Cloud. Sous la pression de ses clients ?