Les enclaves sécurisées pourraient être l’avenir de la sécurité des données

Les enclaves sécurisées pourraient être l’avenir de la sécurité des données

Si vous travaillez dans le domaine de la cybersécurité ou si vous avez interagi avec l’équipe de cybersécurité de votre organisation, vous avez probablement entendu la question : « Tout est-il chiffré en transit et au repos ? » Le chiffrement en transit protège les données en mouvement, et le chiffrement au repos protège les données stockées.

Dans les industries hautement réglementées, il s’agit d’une procédure d’exploitation standard. Dans les secteurs moins réglementés, il s’agit toujours d’une pratique prudente lors du traitement des données des clients.

Mais il existe un autre domaine de cryptage dont peu parlent, et c’est chiffrement utilisé. Le chiffrement utilisé protège les données lorsqu’elles sont traitées en mémoire. En pratique, le cryptage utilisé empêche une personne ayant accès à un serveur d’accéder aux données via un vidage de mémoire ou une analyse médico-légale de la mémoire, qui peut être effectuée sur n’importe quel processus exécuté sur un serveur. (Pour vraiment comprendre l’importance du chiffrement utilisé, vous devez l’aborder en gardant à l’esprit que votre organisation a déjà été compromise et que la sécurité consiste à minimiser les dommages potentiels.)

Aujourd’hui, le chiffrement utilisé est généralement effectué avec un chiffrement côté client. Cependant, il existe une technologie émergente, appelée enclaves sécurisées, qui promet de résoudre bon nombre des limitations du chiffrement côté client.

Qu’est-ce que le chiffrement côté client ?

Le chiffrement côté client, ou la pratique consistant à chiffrer les données dans une application avant de les stocker dans une base de données, telle que Redis, est la méthode la plus largement adoptée pour réaliser le chiffrement en cours d’utilisation.

Le chiffrement côté client protège également contre les menaces internes. Réduire le nombre de personnes pouvant accéder à vos données transforme les personnes auxquelles vous devez faire confiance lorsque vous menez des opérations commerciales. Avec le chiffrement côté client, vous n’avez plus besoin de faire confiance à un administrateur sur le système d’exploitation de votre base de données. De même, le chiffrement côté client permet d’éliminer les tiers de qui ou de quoi vous avez besoin de faire confiance pour exécuter votre application, appelée la base informatique de confiance. Vous n’avez plus besoin de faire confiance à votre fournisseur de cloud pour ne pas abuser de vos données car il a accès au système d’exploitation ou à l’hyperviseur, vous pouvez vous assurer que les fournisseurs de cloud ne peuvent pas accéder à vos données.

Ces avantages s’appliquent à la fois au chiffrement côté client et à l’utilisation d’une enclave sécurisée.

Les limites du chiffrement côté client

Cependant, il existe deux grandes limitations au chiffrement côté client. Tout d’abord, les fonctions qui doivent fonctionner sur les données, telles que les fonctions de recherche simples, les comparaisons et les opérations incrémentielles, ne fonctionnent pas avec le chiffrement côté client. L’exemple de ligne de commande ci-dessous montre comment l’incrémentation d’un nombre chiffré échoue car les données ne sont plus reconnues après avoir été chiffrées côté client :

$ echo "33" >> secrets.txt
$ openssl aes-256-cbc -a -salt -in secrets.txt -out secrets.txt.enc
$ enter aes-256-cbc encryption password:*****
$ Verifying - enter aes-256-cbc encryption password:*****
$ cat secrets.txt.enc
U2FsdGVkX1+zYi/m14irl+JeZokh75XxRAG4HBA56bk=
$ redis-cli set mysecret U2FsdGVkX1+zYi/m14irl+JeZokh75XxRAG4HBA56bk=
OK
$ redis-cli incrby mysecret 1
(error) ERR value is not an integer or out of range

De plus, plusieurs services doivent souvent accéder à la même base de données, ce qui entraîne la complexité et l’investissement de la gestion des clés de chiffrement dans plusieurs applications. Cela augmente la charge administrative liée au déploiement du chiffrement côté client.

Enclaves sécurisées pour le chiffrement en cours d’utilisation

Les enclaves sécurisées promettent d’aider à réduire les obstacles au chiffrement en cours d’utilisation. Les enclaves sécurisées sont des allocations privées de mémoire protégées contre l’utilisation par des processus externes. Un écosystème de fournisseurs de matériel, de fournisseurs de cloud et de fabricants de logiciels se forme actuellement pour rendre l’utilisation d’enclaves sécurisées plus accessible à la communauté des logiciels. Depuis avril 2020, la prise en charge des enclaves sécurisées est disponible dans certains matériels sur site, dans un sous-ensemble de machines virtuelles Microsoft Azure et dans des instances matérielles dédiées dans Alibaba Cloud et IBM Cloud.

Alors, de quoi les enclaves sécurisées ont-elles besoin pour réussir à grande échelle ? Selon le théorie de la diffusion de l’innovation, de nombreuses technologies émergentes ont du mal à franchir le gouffre entre attirer les adopteurs précoces et faire des progrès avec la majorité précoce. Alors que la technologie des enclaves sécurisées se développe et trouve de nouveaux adeptes, elle se rapproche de ce gouffre, qui a été le cimetière de nombreuses technologies prometteuses. Mais compte tenu de l’élan de la technologie et de l’écosystème qui se construit autour d’elle, nous sommes vraiment enthousiasmés par les perspectives d’enclaves sécurisées.

image1
Le gouffre de l’adoption de l’innovation.

Quatre choses essentielles doivent se produire pour que les enclaves sécurisées franchissent avec succès ce gouffre :

  1. Prise en charge matérielle : Les enclaves sécurisées sont une implémentation matérielle du chiffrement en cours d’utilisation. Il est important que cette technologie soit intégrée au matériel nouvellement livré et qu’elle soit mesurée pour être performante. Plus l’adoption du matériel est importante et meilleures sont les performances, plus l’adoption globale sera rapide.
  2. Adoption du service du fournisseur cloud : L’achat de matériel personnalisé pour expérimenter des enclaves sécurisées peut être prohibitif pour de nombreuses organisations. L’adoption rapide d’une technologie émergente comme les enclaves sécurisées sera difficile si un investissement massif est nécessaire. L’infrastructure à l’échelle du cloud et les économies d’échelle sont essentielles pour créer un terrain de jeu abordable pour accélérer l’adoption d’enclaves sécurisées.
  3. Des ensembles d’outils de simplification de l’adoption de logiciels émergent : Les enclaves sécurisées sont des bêtes complexes. Développer contre eux exigera des développeurs de logiciels qu’ils apprennent de nouvelles façons de construire et de structurer leurs applications. Des outils logiciels permettant d’adapter ou de créer facilement des applications pour soutenir l’utilisation d’enclaves sécurisées seront essentiels au succès de ce mouvement.
  4. Adoption des applications : Enfin, une masse critique de développeurs d’applications doit choisir d’investir son temps dans le développement d’applications dans des enclaves sécurisées.

Enclaves sécurisées dans la communauté Redis

Redis s’associe aux membres de la communauté qui développent l’écosystème d’enclaves sécurisées. Nous nous efforçons d’intégrer Redis et Redis Enterprise dans l’écosystème d’enclaves sécurisées en pleine formation en s’associant avec Anjunaun fournisseur qui déplace les applications existantes telles quelles dans des enclaves sans recodage requis. Bien que nous en soyons encore aux premiers stades de l’innovation, nous visons à encourager une prise de conscience plus large pour aider les enclaves sécurisées à franchir le gouffre de l’adoption précoce à la majorité précoce et à promouvoir le succès continu de la technologie.

Nous voyons trois avantages clés des enclaves sécurisées pour la communauté Redis :

  1. Chiffrement utilisé qui active la fonctionnalité : Le chiffrement utilisé pourrait être un catalyseur important pour la communauté Redis. Cela pourrait aider à protéger les données dans Redis contre tout accès non autorisé par une personne ayant accès au système d’exploitation. Les données stockées en mémoire sont une cible de choix pour ces attaques. Bien que ces attaques soient rares et que la communauté de la conformité n’ait pas encore imposé l’utilisation du chiffrement, les enclaves sécurisées pourraient aider Redis à s’étendre aux cas d’utilisation qui nécessitent les niveaux de sécurité les plus élevés tout en minimisant l’impact sur les fonctionnalités de Redis.
  2. Scellement des données : Les données protégées en mémoire doivent persister quelque part afin que votre base de données puisse survivre à un événement d’échec. Le scellement des données vous permet de conserver les données sur le disque dans un format crypté qui ne peut être lu que par les enclaves sécurisées. Le scellement des données pourrait aider à garantir que les fichiers Redis RDB et AOF sont protégés et disponibles pour une utilisation après des événements de défaillance.
  3. Réduisez le besoin de faire confiance aux fournisseurs de cloud : Redis est la base de données la plus largement déployée dans le cloud. L’utilisation de Redis avec une enclave sécurisée pourrait garantir que les fournisseurs de cloud sont supprimés de la base informatique de confiance.

Comment vous assurer que vous êtes en sécurité à l’aide d’enclaves sécurisées

Pour protéger pleinement vos données en mémoire, il ne suffit pas de chiffrer les données dans Redis. Les services applicatifs développés sur Redis doivent également être développés dans une enclave sécurisée. Vous serez toujours exposé à des attaques de mémoire si vos applications ne sont pas développées avec cette technologie.

Il s’agit d’une explication simplifiée des avantages des enclaves sécurisées, conçues spécifiquement pour la communauté Redis. Comme toute technologie émergente, vous devez être conscient des limites de l’enclave sécurisée ainsi que de ses fonctionnalités.

Si vous souhaitez en savoir plus sur les enclaves sécurisées d’un point de vue technique, un article intitulé Améliorer la sécurité du cloud à l’aide d’enclaves sécurisées, de l’UC Berkeley, est un bon point de départ. Vous pouvez également en savoir plus en visitant Site des extensions de protection logicielle (SGX) d’Intel.

Development Source

Related Posts

RLEC 4.2.1 apporte des contrôles granulaires à la haute disponibilité et aux performances

RLEC 4.2.1 apporte des contrôles granulaires à la haute disponibilité et aux performances

Comment HolidayMe utilise Redis Enterprise comme base de données principale

Comment HolidayMe utilise Redis Enterprise comme base de données principale

Annonce de RedisGears 1.0 : un moteur sans serveur pour Redis

Annonce de RedisGears 1.0 : un moteur sans serveur pour Redis

Clés Redis dans la RAM |  Redis

Clés Redis dans la RAM | Redis

No Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *