igor - Fotolia

AWS Aurora supporte le chiffrement des données au repos

La base de données d’Amazon Aurora offre désormais le chiffrement des données au repos, ce qui pourrait aider les entreprises à appréhender les problématiques de protection des données, récemment bouleversées par la loi européenne.

Les clients AWS, positionnées à l’international,  pourraient bien considérées avec attention les possibilités de chiffrements au repos de la base de données d’Amazon, même si pour les experts, les perspectives semblent encore obscures.

Présentée il y a un an, Amazon Aurora disposait déjà de capacités de chiffrement  AES-256 de données en transit. Mais la protection par chiffrement pour les bases de données en back-end, pour les logs et les snapshots par exemple n’était jusqu’alors pas mise en place.  

Cet ajout du chiffrement à Aurora n’est pourtant pas une surprise – il était déjà offert avec RDS. « Il s’agit d’une exigence forte chez tous les fournisseurs, et particulièrement les fournisseurs de services Saas dont les clients sont situés hors des Etats-Unis », précise Theodore Kim, directeur des opérations Saas chez Jobvite un spécialiste de l’acquisition de talents.

Les utilisateurs ont ainsi la capacité de gérer eux-mêmes leurs clés de chiffrements via le service AWS Key Management Service, ou de l’externaliser auprès d’un tiers en Europe.

« Si vous possédez ces clés de chiffrement et en confiez la gestion à un tiers à l’étranger, nous ne pouvons pas déchiffrer les données, même si nous sommes contraints par une assignation à comparaître ou un ordre de justice des US », rappelle Theodore Kim.

Selon la documentation d’AWS, il est impossible de copier un snapshot chiffré d’une région vers une autre ou de répliquer une instance de base de données à travers plusieurs régions ; cela est en ligne avec les lois européennes qui imposent de ne pas sortir les données personnelles hors de leur territoire. Amazon a aussi ouvert une zone à Francfort pour répondre aux exigences des clients allemands sous le joug de ces lois. AWS prévoit également d’ouvrir une région au Royaume-Uni en 2016.

S’il s’agit d’un pas dans la bonne direction, il n’est toujours pas garanti que le chiffrement au repos soit un élément suffisant pour permettre aux entreprises américaines d’héberger des données provenant de l’Union Européenne, dans ce contexte post-Safe Harbour. Le parlement européen a récemment validé la réforme ; elle sera publiée en janvier et prendra effet deux ans après.

Auparavant, les entreprises se reposaient sur  l’accord Safe Harbour, noué entre le Département du commerce américain et l’Union européenne. Cet accord régulait la façon dont les entreprises américaines pouvaient manipuler les données personnelles des citoyens européens. Cette année, la cour européenne de Justice a annulé cet accord.

« Le message fondamental est que le moyen le plus sain est d’établir une présence dans le pays, surtout si vous disposez d’une importante base de clients (dans ce pays) », résume Penny Jones, analyste senior chez 451 Research. « Il existe actuellement des contournements, mais tout dépend vraiment des régulations qui seront mises en place en 2016. »

La recherche d’un soutien international

D’autres analystes demandent aux fournisseurs de Cloud, comme Amazon, de donner une ligne directrice aux entreprises travaillant dans un contexte international.

« Les entreprises disposant d’un Cloud, courant sur plusieurs juridictions, devraient se réunir pour proposer un ligne directrice pour leurs utilisateurs », affirme Edward Haletky, CEO de la société américaine Virtualization Practice. « Je pense à des paramètres de sécurité par défaut, calés sur les lois en vigueur …une alerte qui s’affiche et affirme par exemple que vous êtes susceptible de violer la loi. »

Theodore Kim ne sait pas encore s’il devra ou pas héberger ses données dans la région AWS à Francfort. « Avec l’annulation de Safe Harbour, il existe une alternative en matière de contrôle des données privées pour les importateurs de données, sous la forme de Model Clauses signés avec chacun de nos clients », explique-t-il.

Une version 2.0 de Safe Harbour est également en cours de création, mais l’Allemagne pourrait bien instituer des règles standard encore plus strictes, ajoute-t-il. « Je pense qu’en fin de compte, l’Allemagne va s’aligner sur le reste de l’EU. Si ce n’est pas le cas, Jobvite devra prendre la décision héberger ses données chez AWS Allemagne pour supporter ses clients locaux. »

AWS n’a pas souhaité commenter ces informations.

 

Traduit et adapté par la rédaction

Pour approfondir sur Backup