Pour rappel, les données peuvent être chiffrées par différent moyen, à choisir en fonction du risque.

Par exemple, vol de matériel, alors les SEP avec KMS.

Quand il s’agit de vol de données, le fait d’avoir la données stockée avec chiffrement sur les HDD ne sert à pas grand-chose.

Lors d’une intrusion, le pirate peut tout à fait, par exemple, utiliser du Sql Injection, et la, données chiffrés ou pas, ça ne changera rien.

L’application doit pouvoir utiliser un chiffrement à l’écriture / lecture avec une clé (de préférence pas sur le même serveur).

De sorte qu’un dump de la DB ne soit pas facilement lisible.

 

 

 

De : FRsAG <frsag-bounces@frsag.org> De la part de un+FRsAG@pontesprit.net
Envoyé : mardi, 15 mai 2018 14:42
À : frsag@frsag.org
Objet : Re: [FRsAG] Application RGPD dans les petites structures

 

On 14/05/2018 11:47, Kevin CHAILLY | Service Technique wrote:

J'en profite pour rebondir sur le sujet du "Crypt live", qui effectivement devrait être de plus en plus demandé a l'avenir : 
 
En hard 
 
HP propose Smart Array SR Secure Encryption,  
Les "Self Encrypting Drives" 
 
En soft 
 
Microsoft propose BitLocker, sur les versions récentes de windows.
ZFS propose la crypto, très bon pour du *BSD, un peu jeune pour du ZFS-On-Linux.
LVM propose aussi de crypter l'ensemble du système.
Mac OS X propose FileVault
VMware propose de crypter les vm 
 
Avez-vous des retours au niveau performance utilisation de ces différents cas ? ou d'autres cas qui se seraient éventuellement présentés a vous ? 

Je dm-crypte ( linux/LVM) pas mal de chose depuis plusieurs années ( Perso & pro):

C'est assez facile à mettre en oeuvre ( 10s quand on sait) et à gérer, les performance sont la.
Par exemple sur un serveur "moyen" de 2013:
time cryptsetup benchmark
...
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b   454.0 MiB/s  1135.0 MiB/s
...
     aes-cbc   256b   400.6 MiB/s   990.1 MiB/s
     aes-xts   256b   793.2 MiB/s   802.9 MiB/s
     aes-xts   512b   749.1 MiB/s   739.2 MiB/s
...
# ElapsedRealTime=28.514  KernelCPUSecond=23.534  UserCPUSecond=4.455
( 100%cpu)
Soit plus que le débit de mes RAID, sachant que en pratique je suis surtout limité par les IO/s (comme presque tous ?) ou le cryptage n'a pas d'impact et que les serveurs on un usage CPU très modéré.
Le cache SSD n'est pas crypté, à voir.

J'imagine des performances comparable sous MSWindows puisque le cryptage est matériel par le cpu. Par contre je n'ai aucun avis sur la facilité de mise en oeuvre sur cet OS.

Ca me parait très correcte. Mesuré au doigt mouillé ( et au monitoring) en comparent avant/après et avec/sans, pour un usage "moyen", c'est complètement transparent.

La seul contrainte (qui peut être assez importante selon votre cas): un homme doit taper le passwd au boot/démarrage du(s) service(s). Avec de la redondance et quelques reboot par an par un admin, c'est gerable sans effort.

C'était la minute témoignage moyen qui se croit représentatif :-)


Cordialement.