Utilisez le cryptage côté serveur
Le chiffrement côté serveur vous permet de protéger vos données au repos objet. StorageGRID crypte les données lors de leur écriture et décrypte les données lorsque vous accédez à l'objet.
Si vous souhaitez utiliser le chiffrement côté serveur, vous pouvez choisir l'une des deux options mutuellement exclusives, en fonction de la gestion des clés de cryptage :
-
SSE (chiffrement côté serveur avec clés gérées par StorageGRID) : lorsque vous émettez une demande S3 pour stocker un objet, StorageGRID crypte l'objet avec une clé unique. Lorsque vous émettez une requête S3 pour récupérer l'objet, StorageGRID utilise la clé stockée pour décrypter l'objet.
-
SSE-C (chiffrement côté serveur avec clés fournies par le client) : lorsque vous émettez une demande S3 pour stocker un objet, vous fournissez votre propre clé de chiffrement. Lorsque vous récupérez un objet, vous fournissez la même clé de chiffrement dans le cadre de votre demande. Si les deux clés de chiffrement correspondent, l'objet est décrypté et vos données d'objet sont renvoyées.
StorageGRID gère toutes les opérations de cryptage et de décryptage des objets, mais vous devez gérer les clés de cryptage que vous fournissez.
Les clés de chiffrement que vous fournissez ne sont jamais stockées. Si vous perdez une clé de chiffrement, vous perdez l'objet correspondant. Si un objet est chiffré avec SSE ou SSE-C, tous les paramètres de chiffrement au niveau du godet ou de la grille sont ignorés.
Utiliser SSE
Pour chiffrer un objet avec une clé unique gérée par StorageGRID, utilisez l'en-tête de demande suivant :
x-amz-server-side-encryption
L'en-tête de demande SSE est pris en charge par les opérations d'objet suivantes :
-
PLACER l'objet
-
PLACER l'objet - Copier
-
Lancer le téléchargement de pièces multiples
Utiliser SSE-C
Pour crypter un objet avec une clé unique que vous gérez, vous utilisez trois en-têtes de requête :
En-tête de demande | Description |
---|---|
|
Spécifiez l'algorithme de cryptage. La valeur de la barre de coupe doit être de |
|
Spécifiez la clé de cryptage qui sera utilisée pour crypter ou décrypter l'objet. La valeur de la clé doit être codée en 256 bits, en base64. |
|
Spécifiez le résumé MD5 de la clé de chiffrement selon la RFC 1321, qui est utilisé pour garantir que la clé de chiffrement a été transmise sans erreur. La valeur du résumé MD5 doit être codée en base64 à 128 bits. |
Les en-têtes de demande SSE-C sont pris en charge par les opérations objet suivantes :
-
OBTENIR l'objet
-
Objet TÊTE
-
PLACER l'objet
-
PLACER l'objet - Copier
-
Lancer le téléchargement de pièces multiples
-
Télécharger la pièce
-
Télécharger la pièce - Copier
Considérations relatives au chiffrement côté serveur avec clés fournies par le client (SSE-C)
Avant d'utiliser SSE-C, tenez compte des points suivants :
-
Vous devez utiliser https.
StorageGRID rejette toute demande effectuée sur http en utilisant SSE-C. Pour des considérations de sécurité, vous devez envisager toute clé que vous envoyez accidentellement en utilisant http pour être compromise. Mettez la clé au rebut et tournez-la selon les besoins. -
L'ETag dans la réponse n'est pas le MD5 des données objet.
-
Vous devez gérer le mappage des clés de chiffrement aux objets. StorageGRID ne stocke pas de clés de chiffrement. Vous êtes responsable du suivi de la clé de chiffrement que vous fournissez pour chaque objet.
-
Si le contrôle de version du compartiment est activé, chaque version d'objet doit disposer de sa propre clé de chiffrement. Vous êtes responsable du suivi de la clé de chiffrement utilisée pour chaque version d'objet.
-
Comme vous gérez les clés de chiffrement côté client, vous devez également gérer d'autres dispositifs de protection, tels que la rotation des clés, côté client.
Les clés de chiffrement que vous fournissez ne sont jamais stockées. Si vous perdez une clé de chiffrement, vous perdez l'objet correspondant. -
Si la réplication CloudMirror est configurée pour le compartiment, vous ne pouvez pas ingérer d'objets SSE-C. L'opération d'acquisition échoue.