Entreprise de Chiffrement au niveau des colonnes
Entreprise de Chiffrement au niveau des colonnes (CLE) utilise le Key Management Framework (KMF) pour vous permettre de personnaliser et de gérer entièrement la façon dont les champs et les pièces jointes sont chiffrés et déchiffrés sur votre instance. Un abonnement est requis pour utiliser Entreprise de Chiffrement au niveau des colonnes.
Entreprise de Chiffrement au niveau des colonnesest basé sur Column Level Encryption (CLE) et utilise la et sa prise en charge complète des fonctions de gestion des clés. Entreprise de Chiffrement au niveau des colonnes fournit la protection des clés et la gestion du cycle de vie des clés pour le chiffrement des champs au niveau de l’applicationKey Management Framework. Toutes les clés sont protégées par une hiérarchie d’encapsulation de clé enracinée dans les modules de sécurité matériels (HSM) FIPS 140-2-L3.
Entreprise de Chiffrement au niveau des colonnes vous donne la possibilité de gérer la façon dont les champs pris en charge sont chiffrés et déchiffrés conformément aux pratiques NIST 800-57 . Il utilise également la version la plus récente du chiffrement au niveau du champ, y compris l’intégration pour une protection et une gestion appropriées des clés.
Plus précisément, Entreprise de Chiffrement au niveau des colonnes utilise les KMF modules de chiffrement, ce qui vous permet de mieux contrôler le chiffrement côté serveur. KMF Assure une protection adéquate des clés de chiffrement des données à l’aide de la hiérarchie des clés et du chiffrement de l’enveloppe. Votre instance chiffre les données via des modules de chiffrement que vous configurez. Vous pouvez créer une politique d’accès pour chaque module, puis configurer les spécifications de chiffrement et les politiques d’accès et contrôler le contrôle de la gestion du cycle de vie des clés.
Entreprise de Chiffrement au niveau des colonnes prend en charge les politiques d’accès aux modules basées sur :
- Périmètre
- Rôle
- Script
- Échange de ressources
- Utilisateur système
Termes de chiffrement
| Terme | Description |
|---|---|
| Prise en charge de la gestion des clés Le Cadre de gestion des clés (KMF) est fondamental Entreprise de Chiffrement au niveau des colonnes . Bénéficiez des options suivantes :
Consultez Comprendre le cadre de gestion des clés pour en savoir plus. |
|
| Prise en charge des clés fournies par le client L’un des plus grands avantages Entreprise de Chiffrement au niveau des colonnes est que vous pouvez utiliser vos propres clés pour le chiffrement. Les administrateurs ont le choix d’utiliser ServiceNow les clés fournies ou les vôtres (CSK) pour le chiffrement sur le Now Platform®fichier . Vous pouvez également gérer le cycle de vie des clés et décider quand les révoquer, les faire pivoter et les désactiver. Après avoir activé les clés fournies par le client et créé un module de chiffrement, téléchargez un jeton et une clé éphémère publique. Vous utilisez le jeton et la clé publique pour encapsuler votre clé, puis la charger dans l’instance. Pour utiliser les clés fournies par le client, reportez-vous aux sections Configurer les paramètres de chiffrement de champ pour sélectionner le type de clé et Configurer les propriétés des clés fournies par le client. |
|
| Prise en charge du chiffrement des champs et du chiffrement des pièces jointes Le chiffrement des champs et le chiffrement des pièces jointes utilisent des modules cryptographiques et des politiques d’accès via des configurations de champs chiffrés. Le formulaire Configuration des champs chiffrés est utilisé pour choisir un type de chiffrement de colonne ou de pièce jointe . Consultez Définir des configurations de champs chiffrés pour en savoir plus et connaître les types de champs pris en charge. |
|
| Prise en charge du chiffrement non déterministe Entreprise de Chiffrement au niveau des colonnes prend en charge le chiffrement non déterministe pour une sécurité renforcée. Si le système crypte les mêmes données plus d’une fois, les textes chiffrés sont différents à chaque fois. Le chiffrement non déterministe est disponible avec le chiffrement AES avec Cipher Block Chaining (CBC). Vous pouvez activer cette fonctionnalité via l’option Préservation de l’égalité à l’étape Définition de l’algorithme de la spécification cryptographique. Créez une spécification cryptographique pour un module de chiffrement, définissez un algorithme de chiffrement et générez la clé. Voir Créer un module cryptographique pour définir les mécanismes utilisés pour les opérations de chiffrement et pour plus d’informations sur l’activation du chiffrement non déterministe. |
|
Resource Exchange Entreprise de Chiffrement au niveau des colonnes clés d’instance en instance de manière sécurisée à l’aide des API de chiffrement pour garantir la confidentialité, l’intégrité, l’authentification KMF et la non-répudiation. Resource Exchange est une KMF fonctionnalité qui vous permet d’échanger des ressources entre les instances de manière sécurisée. Consultez Échange de ressources du cadre de travail de gestion de clés pour en savoir plus. |
Entreprise de Chiffrement au niveau des colonnes prend en charge les clients sur site. Domain Separation ne prend pas en charge Domain Separation.
Prise en charge de modules supplémentaires et de politiques d’accès aux modules
La version standard de est limitée à cinq modules et politiques d’accès Chiffrement au niveau des colonnes aux modules (MAP). Entreprise de Chiffrement au niveau des colonnes prend en charge un plus grand nombre de modules et de MAP.
Informations sur les champs pris en charge
- Pièces jointes
- Date
- Date/Heure
- HTML
- Journal
- Entrée de journal
- Liste de journaux
- Téléphone
- Texte de chaîne
- Champ traduit
- HTML traduit
- Texte traduit
- URL
Chiffrement de la pièce jointe
- Chiffrement des pièces jointes par défaut
Les clients qui utilisent Column Level Encryption ont des pièces jointes chiffrées par défaut dans les tables dont le type de configuration de champs chiffrés (EFC) actif est .Attachment
Ce chiffrement par défaut défini par la configuration EFC signifie que les administrateurs n’ont pas besoin de déclarer manuellement qu’une pièce jointe doit être chiffrée lors du chargement pour ces tables.
- Désactiver le chiffrement par défaut
Si vous ne souhaitez pas que les pièces jointes soient chiffrées par défaut en fonction de la configuration EFC, vous pouvez désactiver cette option en contactant l’assistance ServiceNow .
Pour désactiver cette fonctionnalité, créez un ticket de support avec ServiceNow support et incluez cette déclaration dans un commentaire sur l’enregistrement de ticket :
« Je [nom du client] comprends que je demande ServiceNow de désactiver une bonne pratique de sécurité recommandée pour les pièces jointes, et que [l’entreprise cliente] assume tout risque supplémentaire lié à la configuration et à l’utilisation de pièces jointes non chiffrées dans l’application ServiceNow . »
Prise en charge de l’API
Entreprise de Chiffrement au niveau des colonnes met à jour les API setDisplayValue() et setValue() afin qu’elles puissent insérer des données chiffrées pour les champs chiffrés. Il permet également à getDisplayValue() et getValue() de renvoyer des valeurs en texte clair.
Le script suivant illustre ces changements d’API lorsque la brève description de l’incident est chiffrée :
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value
Lorsque vous utilisez getValue() pour obtenir du texte chiffré, votre script ne renvoie plus le texte chiffré. Votre script renvoie le texte en clair, en supposant que l’utilisateur a accès au module de chiffrement. Si l’utilisateur n’a pas accès au module cryptographique, getValue() renvoie le texte chiffré.