Rotation des clés de chiffrement

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Effectuez la rotation de la clé de chiffrement à partir de l’instance. Ajoutez une nouvelle clé, modifiez l’affectation de clé par défaut, puis planifiez une rotation de clés en masse ou une rotation de clés uniques.

    Avant de définir une clé de chiffrement comme clé par défaut, mettez la clé à la disposition de chaque proxy. Cela garantit que les proxys disposent de la clé pour chiffrer les données lorsque la clé est affectée comme clé par défaut. Tous les proxys doivent avoir accès à une clé pour que cette clé puisse être affectée comme clé par défaut.

    Avertissement :
    Avant de supprimer une clé du proxy, configurez et exécutez une tâche de rotation de clé en masse pour vous assurer qu’aucune donnée sur l’instance n’utilise la clé. Si des informations sont toujours chiffrées avec cette clé, vous ne pouvez pas les déchiffrer après avoir supprimé la clé.

    Comportement de filtrage et de tri en bordure

    Chaque fois que vous modifiez des clés par défaut, assurez-vous d’effectuer une rotation de clés (en masse ou une rotation de clés uniques). Sinon, vous risquez d’obtenir des résultats inattendus lors du tri et du filtrage des enregistrements. Imaginons par exemple le scénario suivant :
    1. Vous créez des enregistrements chiffrés à l’aide d’une clé de chiffrement.
    2. Vous créez une nouvelle clé et la définissez par défaut.
    3. Vous créez un nouvel ensemble d’enregistrements chiffrés à l’aide de la nouvelle clé de chiffrement.
    Si vous filtrez par un champ chiffré lorsque vous êtes connecté via le proxy Edge, tous les enregistrements peuvent ne pas être filtrés correctement ou des enregistrements peuvent apparaître de manière inattendue. Le filtre fonctionne uniquement pour les enregistrements chiffrés à l’aide de la clé par défaut actuelle. Les enregistrements chiffrés à l’aide de la clé par défaut précédente apparaissent toujours dans la vue de liste.

    Si vous triez par un champ chiffré lorsque vous êtes connecté via le proxy Edge, vous voyez deux groupes d’enregistrements avec le même texte lisible par l’homme dans le champ chiffré.

    Planifier une tâche de rotation de clé unique

    Planifiez une tâche pour trouver les données chiffrées à l’aide d’un alias de clé spécifié, puis chiffrez à nouveau les données avec la clé de chiffrement par défaut actuelle. Les données sont déchiffrées avant d’être chiffrées à nouveau avec la clé par défaut.

    Avant de commencer

    Rôle requis : security_admin

    Avant de planifier cette tâche, mettez à jour la clé par défaut dans Configuration de Chiffrement Edge > Configuration de la clé de chiffrement > Définir les clés par défaut.

    Procédure

    1. Accédez à la Configuration de Chiffrement Edge > Maintenance > Planifier la rotation de clé unique.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Valeur
      Nom Saisissez un nom descriptif.
      Type de travail Sélectionnez Rotation de clé unique.
      Clé Entrez la clé à mettre hors service. Vérifiez que cette clé n’est plus la clé par défaut dans Configuration de Chiffrement Edge > Configuration de la clé de chiffrement > Définir les clés par défaut.
      Estimer le nombre d’enregistrements Nombre total estimé d’enregistrements à traiter. Non disponible lors de l’exécution d’une rotation de clés unique.
      Traiter les enregistrements historiques

      Sélectionnez cette option pour traiter les enregistrements historiques dans la table Audit si le champ est audité. Lors du chiffrement des enregistrements historiques d’un champ dans la table d’audit, les nouvelles valeurs et les anciennes valeurs sont chiffrées. Ce champ est en lecture seule et actif.

      Pour en savoir plus sur les champs audités, reportez-vous à la rubrique Audit.
      Estimer le nombre d'enregistrements d'audit maximal Nombre maximal estimé d’enregistrements audités à traiter. Non disponible lors de l’exécution d’une rotation de clés unique.
      Actifs Décochez cette case si vous souhaitez désactiver cette tâche.
      Exécution Sélectionnez la période entre les exécutions de tâches.
      En cours de démarrage Entrez la date et l’heure de la première exécution de la tâche.
    3. Cliquez sur l’icône de menu dans l’en-tête du formulaire et sélectionnez Enregistrer.
      L’estimation du nombre d’enregistrements n’est pas prise en charge lors du traitement des champs audités.

    Planifier une tâche de rotation de clés en masse

    Planifiez une tâche pour trouver les données chiffrées avec une clé précédente, puis chiffrez à nouveau les données avec les clés de chiffrement par défaut actuelles. Les données sont déchiffrées avant d’être chiffrées à nouveau avec la clé par défaut actuelle.

    Avant de commencer

    Rôle requis : security_admin

    Procédure

    1. Accédez à la Tout > Configuration de Chiffrement Edge > Maintenance > Planifier la rotation de clés en masse.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Valeur
      Nom Saisissez un nom descriptif.
      Type de travail Sélectionnez Mass Key Rotation (Rotation des clés en masse).
      Estimer le nombre d’enregistrements Nombre total estimé d’enregistrements à traiter. Non disponible lors de l’exécution d’une rotation de clés en masse.
      Traiter les enregistrements historiques

      Sélectionnez cette option pour traiter les enregistrements historiques dans la table Audit si le champ est audité. Lors du chiffrement des enregistrements historiques d’un champ dans la table d’audit, les nouvelles valeurs et les anciennes valeurs sont chiffrées. Ce champ est en lecture seule et actif.

      Pour en savoir plus sur les champs audités, reportez-vous à la rubrique Audit.
      Estimer le nombre d'enregistrements d'audit maximal Nombre maximal estimé d’enregistrements audités à traiter. Non disponible lors de l’exécution d’une rotation de clés en masse.
      Actifs Décochez cette case pour désactiver cette tâche.
      Exécution Sélectionnez la période entre les exécutions de tâches.
      En cours de démarrage Entrez la date et l’heure de la première exécution de la tâche.
    3. Cliquez sur l’icône de menu dans l’en-tête du formulaire et sélectionnez Enregistrer.
      L’estimation du nombre d’enregistrements n’est pas prise en charge lors du traitement des champs audités.

    Planifier une tâche de rotation de clé de pièce jointe

    Planifiez une tâche pour trouver des pièces jointes chiffrées à l’aide d’un alias de clé spécifié, puis chiffrez à nouveau les pièces jointes avec la clé de chiffrement par défaut actuelle. La pièce jointe est déchiffrée avant d’être chiffrée à nouveau avec la clé par défaut.

    Avant de commencer

    Rôle requis : security_admin

    Procédure

    1. Accédez à la Tout > Configuration de Chiffrement Edge > Maintenance > Planifier la rotation clé des pièces jointes.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Valeur
      Nom Saisissez un nom descriptif.
      Type de travail Sélectionnez Rotation clé de la pièce jointe.
      Actifs Décochez la case si vous souhaitez désactiver cette tâche.
      Table Selectionner une table.
      Exécution Sélectionnez la période entre les exécutions de tâches.
      En cours de démarrage Entrez la date et l’heure de la première exécution de la tâche.
    3. Cliquez sur l’icône de menu dans l’en-tête du formulaire et sélectionnez Enregistrer.
    4. Pour afficher un nombre estimé d’enregistrements à mettre à jour, cliquez sur Nombre d’enregistrements estimé.
    5. Pour exécuter immédiatement la tâche, cliquez sur Exécuter maintenant.