NAKIVO > Blog

Comprendre les options de chiffrement des sauvegardes

Publié le: novembre 8, 2024

Written by: NAKIVO Team

< & La sauvegarde des données est essentielle pour prévenir les pertes de données et permettre une récupération rapide. Le chiffrement des sauvegardes fait partie intégrante d'une stratégie de protection des données sécurisée et à haute résilience, car il empêche les violations et l'accès aux données par des personnes non autorisées. Cet article de blog présente les différents types de chiffrement en fonction de l'emplacement où les données sont chiffrées et explique comment une approche spécifique peut être utilisée pour mettre en place une stratégie de chiffrement des sauvegardes efficace.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Types de chiffrement des sauvegardes

Le chiffrement peut être classé en différentes catégories en fonction de l’algorithme de chiffrement, de la longueur de la clé et de l’emplacement où le chiffrement est effectué. Le chiffrement côté source et le chiffrement côté cible sont des termes utilisés dans le contexte du chiffrement des données, en particulier lorsque les données sont transférées entre des systèmes, comme dans les scénarios de stockage dans le cloud ou de sauvegarde des données. Ils font référence à l’endroit où se déroulent les processus de chiffrement et de déchiffrement.

Chiffrement côté source

Le chiffrement côté source, également appelé chiffrement côté client, consiste à chiffrer les données sur le système du client (source) avant qu’elles ne soient transmises à un autre système, tel qu’un service de stockage dans le cloud ou un serveur distant. Ce processus garantit la protection des données dès qu’elles quittent le contrôle du client, en préservant leur confidentialité et leur intégrité tout au long de leur transmission et de leur stockage.

REMARQUE : Le chiffrement côté source est étroitement lié à ce que l’on appelle souvent le chiffrement côté client. En fait, les deux termes sont souvent utilisés de manière interchangeable, bien que le contexte puisse varier en fonction de l’application ou du système spécifique en question.

Comment fonctionne le chiffrement côté source

Lorsqu’un utilisateur ou une application génère des données sur un appareil, tel qu’un ordinateur ou un serveur, ces données sont d’abord chiffrées localement sur cet appareil. Le processus de chiffrement utilise un algorithme de chiffrement puissant, tel que l’AES (Advanced Encryption Standard), qui transforme les données lisibles en un format de chiffrement illisible sans la clé de déchiffrement correspondante. Cette clé de chiffrement est généralement gérée par le client, ce qui signifie que seul le client (ou les entités autorisées ayant accès à la clé) peut déchiffrer et accéder aux données d’origine.

Une fois les données cryptées, elles sont transmises au système de destination. Pendant cette transmission, les données restent cryptées, ce qui réduit le risque de violation si elles sont interceptées. Comme les données sont déjà cryptées avant de quitter l’environnement du client, le système récepteur n’a pas besoin de connaître leur contenu ni d’être capable de les déchiffrer.

Après avoir atteint le système cible, les données sont stockées dans leur état crypté. Le serveur ou le service de stockage ne contient que les données cryptées et n’a généralement pas accès aux clés de déchiffrement, ce qui signifie qu’il ne peut pas déchiffrer les données par lui-même. Cette configuration garantit la sécurité des données même si le système de stockage est compromis, car les données ne peuvent être lues sans la clé de déchiffrement appropriée.

Lorsque le client ou un utilisateur autorisé a besoin d’accéder aux données stockées, les données cryptées sont récupérées à partir du système cible et renvoyées au client (système source). Le client utilise alors la clé de déchiffrement d’origine pour déchiffrer les données localement, les convertissant ainsi dans leur format d’origine lisible. Ce processus de déchiffrement s’effectue entièrement sur le système du client, garantissant ainsi que les données restent sous le contrôle du client tout au long de leur cycle de vie.

Le chiffrement côté source est particulièrement utile dans les cas où le client souhaite garder le contrôle sur la sécurité des données, par exemple lors du stockage d’informations sensibles dans des environnements cloud. Cependant, il exige également que le client gère les clés de chiffrement de manière sécurisée, car la perte de ces clés rendrait les données définitivement inaccessibles. Cette approche offre un niveau élevé de protection des données.

Avantages du chiffrement côté source

Le chiffrement côté source permet au client de garder un contrôle total sur le processus de chiffrement, y compris sur les clés de chiffrement. Cette approche garantit la protection des données avant qu’elles ne quittent l’environnement du client, offrant ainsi un niveau de confiance et d’autonomie plus élevé. Le client peut adapter les méthodes de chiffrement et les stratégies de gestion des clés afin de répondre à des conditions à remplir en matière de sécurité et de conformité, ce qui rend cette approche particulièrement avantageuse pour les données sensibles ou réglementées.

Sécurité

L’un des principaux avantages du chiffrement côté source en matière de sécurité est que les données sont chiffrées à leur origine, ce qui signifie qu’elles sont sécurisées pendant leur transit et au repos. Comme le client contrôle les clés de chiffrement, les données restent inaccessibles à toute personne, y compris les fournisseurs de services ou les tiers, qui ne possèdent pas ces clés. Par conséquent, le risque d’accès non autorisé ou de violation des données est considérablement réduit, même si le système de stockage est compromis. De plus, le chiffrement est de bout en bout, ce qui garantit la protection des données tout au long de leur cycle de vie.

Performances

Le chiffrement côté source peut avoir un impact notable sur les performances, car les processus de chiffrement et de déchiffrement se produisent sur l’appliance du client (source). Selon la taille et la complexité des données, cela peut nécessiter des ressources informatiques importantes, ce qui peut ralentir les opérations, en particulier pour les grands jeux de données ou les appliances aux ressources limitées. La gestion des clés peut également ajouter à la complexité, nécessitant une manipulation minutieuse pour éviter les goulots d’étranglement au niveau des performances ou les pertes de données potentielles en cas de mauvaise gestion des clés.

Chiffrement côté cible

Le chiffrement côté cible, également appelé chiffrement côté serveur, désigne le processus de chiffrement des données par le système cible (tel qu’un fournisseur de cloud, un serveur distant ou une base de données) après leur réception depuis la source (client). Cette approche de chiffrement est largement utilisée dans les services de stockage dans le cloud, les bases de données et d’autres scénarios où les données doivent être protégées après leur réception et leur stockage. Cette méthode confie la responsabilité du chiffrement et de la sécurité des données au serveur (cible) plutôt qu’au client (source).

Comment fonctionne le chiffrement côté cible

Lorsqu’un client envoie des données à un système cible, celles-ci arrivent généralement en texte clair, même si elles peuvent être protégées pendant leur transmission à l’aide de protocoles de sécurité de la couche transport tels que TLS/SSL. Une fois que les données atteignent le système cible, le serveur prend en charge le processus de chiffrement. Le serveur utilise un algorithme de chiffrement puissant, tel que l’AES (Advanced Encryption Standard), pour convertir les données en un format chiffré. Cela garantit que les données sont protégées et illisibles pour tout utilisateur ou application susceptible d’accéder sans autorisation au stockage du serveur.

Le serveur cible gère les clés de chiffrement nécessaires à ce processus. Ces clés peuvent être générées et stockées par le serveur lui-même, ou elles peuvent être gérées par un service de gestion des clés (KMS) dédié. Les clés de chiffrement sont essentielles pour chiffrer et réaliser le déchiffrement des données, et leur gestion est fondamentale pour maintenir la sécurité des données chiffrées.

Après avoir effectué le chiffrement des données, le serveur cible les stocke sous leur forme chiffrée, que ce soit sur un disque, dans une base de données ou dans un système de stockage dans le cloud. Les données restent chiffrées au repos, ce qui signifie que même si des personnes non autorisées accèdent au support de stockage physique, elles ne verront que les données chiffrées, qui seront inutilisables sans la clé de déchiffrement.

Lorsqu’un utilisateur ou un système autorisé demande les données, le serveur les déchiffre avant de les renvoyer au client. Ce processus de déchiffrement n’est généralement pas visible pour le client, qui peut même ignorer que les données ont été cryptées pendant le stockage. Le client reçoit les données dans leur forme originale, lisible et prête à l’emploi.

Le chiffrement côté cible simplifie le processus pour le client (côté source), car celui-ci n’a pas à se soucier du traitement du chiffrement ou de la gestion des clés. Le serveur ou le fournisseur de cloud assume ces responsabilités, garantissant que les données sont uniformément chiffrées et protégées conformément aux politiques de sécurité du fournisseur. Cependant, cela signifie également que le client doit faire confiance au serveur pour gérer les clés de chiffrement de manière sécurisée et effectuer correctement les processus de chiffrement et de déchiffrement.

Cette méthode est couramment utilisée dans les services de stockage dans le cloud, les bases de données et d’autres environnements où de grandes quantités de données doivent être stockées de manière sécurisée. Elle constitue un moyen efficace de protéger les données au repos, ce qui en fait un choix populaire pour les organisations qui souhaitent garantir la sécurité des données sans ajouter de complexité du côté client.

Avantages du chiffrement côté cible

Le chiffrement côté cible simplifie le processus de chiffrement pour le client côté source en transférant la responsabilité au serveur cible ou au fournisseur de cloud. Le client n’a pas à se soucier de la mise en œuvre d’algorithmes de chiffrement ou de la gestion des clés de chiffrement, car ces tâches sont prises en charge par le système cible. Cela facilite l’intégration du chiffrement dans les flux de travail existants, en particulier dans les environnements où la facilité d’utilisation et l’évolutivité sont importantes. Cela garantit également l’application cohérente des politiques de chiffrement à toutes les données stockées sur le serveur.

Sécurité

Si le chiffrement côté cible garantit que les données sont chiffrées au repos, il exige toutefois que le client fasse confiance au serveur ou au fournisseur de cloud pour gérer le processus de chiffrement et protéger les clés de chiffrement. La sécurité des données dépend de la capacité du serveur à gérer correctement les clés et à appliquer les politiques de sécurité. Cependant, si le serveur est compromis, il existe un risque potentiel que des utilisateurs non autorisés puissent accéder à la fois aux données chiffrées et aux clés nécessaires pour les déchiffrer. Pour atténuer ce risque, de nombreux services proposent des fonctionnalités de sécurité supplémentaires, telles que des services de gestion des clés (KMS) et des modules de sécurité matériels (HSM) afin de renforcer la protection des clés.

Performances

Le chiffrement côté cible a généralement un impact moindre sur les performances du client (côté source), car le travail fastidieux de chiffrement et de déchiffrement est effectué par le serveur cible. Cela peut améliorer les performances côté client, en particulier pour les appliances dont la puissance de traitement est limitée. Cependant, les processus de chiffrement et de déchiffrement consomment toujours des ressources sur le serveur, ce qui peut avoir un impact sur les performances de celui-ci, en particulier dans les environnements à forte. De plus, la nécessité de réaliser le déchiffrement des données sur le serveur avant de les renvoyer au client peut introduire une certaine latence, bien que celle-ci soit souvent minime dans les systèmes bien optimisés.

Chiffrement côté source vs Chiffrement côté cible

Le tableau ci-dessous répertorie les principaux paramètres permettant de résumer les différences entre le chiffrement côté source et le chiffrement côté cible (chiffrement côté client vs chiffrement côté serveur).

Fonctionnalité/Aspect Chiffrement côté source Chiffrement côté destination
Définition Le chiffrement des données est effectué à la source avant leur transmission. Le chiffrement des données est effectué une fois qu’elles ont atteint la destination de la cible.
Contrôle En règle générale, le propriétaire ou l’expéditeur des données contrôle le processus de chiffrement et les clés. Le destinataire des données ou le fournisseur de services de stockage gère généralement le processus de chiffrement et les clés.
Gestion des clés Les clés sont généralement contrôlées et gérées par l’expéditeur/propriétaire des données. Les clés sont gérées par le destinataire des données ou le fournisseur de services de stockage.
Responsabilité en matière de sécurité La responsabilité principale incombe à l’expéditeur des données, qui doit s’assurer que celles-ci sont cryptées avant leur transmission. La responsabilité principale incombe au destinataire des données ou au fournisseur de stockage, qui doit effectuer le chiffrement des données dès leur réception.
Sécurité de la transmission Les données sont cryptées pendant leur transit, ce qui garantit leur sécurité contre toute interception. Les données peuvent être interceptées en clair pendant leur transfert si elles ne sont pas cryptées ; met davantage l’accent sur la protection des données stockées.
Complexité d’intégration Peut nécessiter un travail d’intégration plus important de la part de l’expéditeur des données pour mettre en œuvre les mécanismes de chiffrement. Généralement plus facile à mettre en œuvre, car le processus de chiffrement a lieu après la réception, souvent à l’aide d’outils de service standard.
Impact sur les performances Surcoût potentiel en termes de performances côté client en raison des processus de chiffrement avant l’envoi des données. Impact moindre côté client ; le surcoût en termes de performances se situe côté serveur ou stockage en raison des processus de chiffrement à la réception.
Conformité et politique Permet aux expéditeurs de se conformer à des stratégies de protection des données et des réglementations spécifiques en contrôlant eux-mêmes le chiffrement. Peut satisfaire aux conditions à remplir liées aux politiques de chiffrement des données au repos et aux responsabilités du dépositaire des données.
Cas d’utilisation Utile dans les scénarios où la sécurité de la transmission est essentielle, comme l’échange de données sensibles. Courant dans les solutions de stockage dans le cloud et d’entreposage de données où la protection des données est principalement nécessaire pour les données stockées.

Chiffrement des sauvegardes côté source avec NAKIVO

Les types de chiffrement côté source et côté cible peuvent tous deux être utilisés pour la sauvegarde des données. Explorons le chiffrement côté source dans le contexte de la sauvegarde des données.

NAKIVO Backup & Replication est une solution avancée de protection des données qui prend en charge le chiffrement des sauvegardes. Un algorithme AES-256 puissant (clé de chiffrement de 256 bits) est utilisé pour le chiffrement dans la solution NAKIVO. Le chiffrement peut être configuré au niveau du référentiel de sauvegarde (pour toutes les sauvegardes stockées dans un référentiel de sauvegarde) en tant que chiffrement cible. L’autre option consiste à configurer le chiffrement au niveau de la tâche de sauvegarde à l’aide du chiffrement côté source. Ainsi, les sauvegardes sont chiffrées pendant les transferts et stockées sous forme de données chiffrées dans le référentiel de sauvegarde.

Le chiffrement côté source des sauvegardes nécessite la saisie d’un mot de passe. Un hachage fort généré à partir du mot de passe fourni est utilisé pour créer la clé de chiffrement/déchiffrement. Il est important de ne pas perdre le mot de passe de chiffrement, car vous ne pourrez pas restaurer les données à partir de la sauvegarde chiffrée sans ce mot de passe.

Conditions à remplir pour le chiffrement côté source:

  • NAKIVO Backup & Replication & >
  • Type de stockage des données : incrémentiel avec sauvegarde complète (les bandes magnétiques sont également prises en charge)

Configuration du chiffrement côté source

Le chiffrement côté source pour les sauvegardes est configuré dans l’interface Web au niveau de la tâche.

  1. Accédez à l’étape Options d’un assistant de tâche de sauvegarde dans NAKIVO Backup & Replication pour définir les options de chiffrement.
  2. Définissez l’option Chiffrement des sauvegardes sur Activé pour implémenter le chiffrement côté source pour une sauvegarde.

    REMARQUE : Lorsque le chiffrement du réseau est activé, les données sauvegardées sont chiffrées avant d’être transférées sur le réseau et déchiffrées lorsqu’elles sont écrites dans le référentiel de sauvegarde de destination. La charge des transporteurs est augmentée pour le chiffrement et le déchiffrement des données. Lorsque le chiffrement des sauvegardes est activé, les données sont chiffrées à la source, transférées sous forme de données chiffrées et stockées sous forme de données chiffrées dans le référentiel de sauvegarde. L’activation simultanée du chiffrement des sauvegardes et du chiffrement du réseau augmente la charge due au double chiffrement des données et n’est pas nécessaire.

    How to enable source-side backup encryption

  3. Cliquez sur Paramètres pour définir une clé de chiffrement.
  4. Définissez les paramètres nécessaires dans la fenêtre Définissez un mot de passe
    • Créez un nouveau mot de passe et confirmez-le.
    • Entrez une description, par exemple Chiffrement des sauvegardes mot de passe.

    Lorsque vous cliquez sur Continuer, le nouveau mot de passe est enregistré dans une base de données du NAKIVO Director, et vous pouvez ensuite sélectionner ce mot de passe pour d’autres tâches de sauvegarde.

    How to set a backup encryption password

Vous pouvez également configurer un service de gestion des clés (KMS) pour bénéficier de mesures de protection supplémentaires. NAKIVO Backup & Replication prennent en charge AWS KMS.

  1. Pour activer AWS KMS, vous devez ajouter un compte AWS à l’inventaire NAKIVO.

    Adding an AWS account to the inventory

  2. Pour activer le service AWS Key Management Service pour le chiffrement des sauvegardes, accédez à Paramètres > Général > Paramètres du système et passez à l’onglet Chiffrement .
    • Cochez la case Utiliser le service de gestion des clés AWS.
    • Sélectionnez un compte AWS ajouté à l’inventaire NAKIVO.
    • Sélectionnez une région AWS.
    • Sélectionnez une clé.

    Enabling the AWS Key Management Service

Vous pouvez vérifier le statut du chiffrement en vous rendant sur Paramètres > Référentiels et en sélectionnant un référentiel de sauvegarde (par exemple, le Référentiel embarqué). Cliquez sur le nom du référentiel pour afficher la liste des sauvegardes qu’il contient.

Cette page affiche le nom de la sauvegarde, l’état du chiffrement, l’état du mot de passe de chiffrement, le nom de la tâche et la taille.

Chiffrement des sauvegardes Statut:

  • Crypté
  • Non crypté

Statut du mot de passe de chiffrement:

  • Disponible – un hachage de mot de passe correspondant est enregistré dans la base de données de NAKIVO Director.
  • Indisponible – une sauvegarde (point de récupération) est chiffrée, mais le hachage du mot de passe de chiffrement n’est pas disponible dans la base de données de Director.
  • Sans objet – s’affiche si le point de récupération d’une sauvegarde n’est pas chiffré.

Checking backup encryption settings for each backup

Vous pouvez modifier les options de la tâche de sauvegarde à tout moment et changer les paramètres de chiffrement des sauvegardes.

Conclusion

Le chiffrement côté source est une mesure sûre et efficace pour protéger les données sauvegardées lors de leur transfert sur le réseau et de leur stockage dans un référentiel de sauvegarde. Ce type de chiffrement des sauvegardes est efficace dans différents scénarios, notamment pour une sauvegarde locale et une sauvegarde vers le cloud public. L’utilisation de mots de passe pour générer des clés de chiffrement est abordable et conviviale pour les utilisateurs. De plus, le service avancé de gestion des clés, tel que AWS KMS, peut être utilisé pour éviter d’oublier ou de perdre les clés de chiffrement.

Téléchargez la dernière version de NAKIVO Backup & Replication qui prend en charge le chiffrement côté source et le chiffrement côté cible pour mettre en œuvre efficacement votre stratégie de sauvegarde.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Solutions rapides pour Office 365 ralentissant l’ordinateur
Picture
Comment prendre un instantané d’une instance EC2 pour la protection des données AWS EC2
Picture
6 raisons pour lesquelles vous devriez sauvegarder les données Microsoft 365