Exploration du chiffrement de base de données
ServiceNow® propose des méthodes de chiffrement de base de données (DBE) et de chiffrement complet du disque pour les clients ayant des obligations légales en matière de protection des données qui peuvent nécessiter une protection au repos pour toutes les données.
Le chiffrement de la base de données permet de protéger toutes les données avec le chiffrement symétrique AES-256, que la base de données soit en ligne ou hors ligne. Du point de Now Platform vue, toutes les données sont déchiffrées.
- Database Encryption prend en charge toutes les données stockées à chiffrer en temps réel, offrant une protection des données en ligne et hors ligne sans perte de fonctionnalité.
- Le chiffrement complet du disque protège les données hors ligne en cas de perte ou de vol du disque.
Avec le chiffrement de base de données, toutes les données stockées sont chiffrées et les enregistrements ou tables individuels sont déchiffrés en mémoire lors de l’accès. Les données nouvelles ou modifiées sont chiffrées lorsqu’elles sont saisies dans une table et les fichiers journaux d’activité associés (BIN, REDO, UNDO et Error) sont également chiffrés.
Database Encryption est transparent pour les utilisateurs, sans perte de fonctionnalité. Lors de l’utilisation de cette fonctionnalité, toutes les instances sont chiffrées, ainsi que le trafic de réplication et les sauvegardes. Le clonage d’instance est toujours disponible avec un impact mineur sur les performances pour l’utilisation du chiffrement de base de données jusqu’à 5 %. Les instances nouvelles et existantes sur les versions prises en charge peuvent Now Platform tirer parti du chiffrement de base de données.
Comme illustré, ServiceNow stocke et gère les clés à l’aide d’une hiérarchie de clés à trois niveaux :
- Une clé AES-256 spécifique au client est créée par le moteur de base de données et utilisée pour chiffrer les données.
- Une deuxième clé AES-256 spécifique au client est créée par le moteur de base de données et est utilisée pour protéger la clé de premier niveau.
- Une troisième clé AES-256 est créée et stockée dans les dispositifs de gestion des clés validés FIPS 140 dans les centres de ServiceNow données. Cette clé protège la clé de deuxième niveau et est unique par instance client.
Il Now Platform prend également en charge le chiffrement de la base de données avec un commutateur fourni par le client, DBE avec CCS. Il s’agit d’une solution de chiffrement qui chiffre toutes les données au repos lorsqu’elles ne sont pas utilisées dans la base de données. Il utilise un cryptage AES standard de l’industrie sans impact sur les fonctionnalités. La base de données chiffre les données au fur et à mesure qu’elles sont écrites sur le disque et les déchiffre au fur et à mesure qu’elles sont lues à partir du disque. Cela signifie que les applications disposent toujours des données dans un état non chiffré pour exécuter la logique et les fonctions nécessaires sans impact.
Si vous utilisez vos propres clés pour le chiffrement de la base de données, reportez-vous à la section Chiffrement de la base de données avec commutateur contrôlé par le client.