Entreprise de Chiffrement au niveau des colonnesrepose sur Chiffrement au niveau des colonnes (CLE) et utilise la et sa prise en charge complète des fonctions de gestion des clés. Entreprise de Chiffrement au niveau des colonnes assure la Key Management Framework protection des clés et la gestion du cycle de vie des clés pour le chiffrement des champs au niveau de l’application. Toutes les clés sont protégées par une hiérarchie d’encapsulation des clés enracinée dans les modules de sécurité matériels (HSM) FIPS 140-2-L3.

Entreprise de Chiffrement au niveau des colonnes vous donne la possibilité de gérer la façon dont les champs pris en charge sont chiffrés et déchiffrés conformément aux pratiques NIST 800-57 . Il utilise également la version la plus récente du chiffrement au niveau des champs, y compris l’intégration pour une protection et une gestion appropriées des clés.

Plus précisément, Entreprise de Chiffrement au niveau des colonnes utilise les KMF modules de chiffrement, ce qui vous permet de mieux contrôler le chiffrement côté serveur. KMF Assure une protection appropriée des clés de chiffrement des données à l’aide de la hiérarchie des clés et du chiffrement de l’enveloppe. Votre instance chiffre les données via des modules de chiffrement que vous configurez. Vous pouvez créer une politique d’accès pour chaque module, puis configurer les spécifications cryptographiques et les politiques d’accès et contrôler le contrôle de la gestion du cycle de vie des clés.

Entreprise de Chiffrement au niveau des colonnes prend en charge les politiques d’accès au module basées sur :

Termes de chiffrement

Terme	Description
	Prise en charge de la gestion des clés Le Cadre de gestion des clés (CGM) est fondamental Entreprise de Chiffrement au niveau des colonnes . Bénéficiez des options suivantes : Gestion du cycle de vie des clés. Rotation des clés. Consultez Faire pivoter les clés pour en savoir plus. Protection des clés et génération de clés avec les modules de sécurité matériels (HSM) FIPS 140-2-L3. Séparation des rôles et des tâches. Transfert sécurisé des clés de chiffrement des données entre les instances, telles que les instances de production et de non-production. Clés fournies par le client (CSK) avec emballage de clés. Chiffrement non déterministe. Chiffrement/déchiffrement de masse. Audit de l’accès/de l’utilisation des clés. Consultez Comprendre le cadre de gestion des clés pour en savoir plus.
	Prise en charge des clés fournies par le client L’un Entreprise de Chiffrement au niveau des colonnes des plus grands avantages est que vous pouvez utiliser vos propres clés pour le chiffrement. Les administrateurs ont le choix d’utiliser ServiceNow les clés fournies ou vos propres clés fournies par le client (CSK) pour le chiffrement sur le Now Platform®fichier . Vous pouvez également gérer le cycle de vie des clés et décider quand les révoquer, les faire pivoter et les désactiver. Une fois que vous avez activé les clés fournies par le client et créé un module de chiffrement, vous téléchargez un jeton et une clé éphémère publique. Vous utilisez le jeton et la clé publique pour encapsuler votre clé, puis la charger dans l’instance. Pour utiliser les clés fournies par le client, reportez-vous aux sections Configurer les paramètres de chiffrement de champ pour sélectionner le type de clé et Utilisation des clés fournies par le client avec Chiffrement au niveau des colonnes – Entreprise .
	Prise en charge du chiffrement de champ et du chiffrement de pièce jointe Le chiffrement de champ et le chiffrement de pièce jointe utilisent tous deux des modules cryptographiques et des politiques d’accès via des configurations de champs chiffrés. Le formulaire Configuration des champs chiffrés permet de choisir un type de chiffrement de colonne ou de pièce jointe . Pour plus d’informations et connaître les types de champs pris en charge, consultez la rubrique Définir des configurations de champs chiffrés
	Prise en charge du chiffrement non déterministe Entreprise de Chiffrement au niveau des colonnes Prend en charge le chiffrement non déterministe pour une sécurité renforcée. Si le système crypte les mêmes données plus d’une fois, les textes chiffrés sont différents à chaque fois. Le chiffrement non déterministe est disponible avec le chiffrement AES avec Cipher Block Chaining (CBC). Vous pouvez activer cette fonctionnalité via l’option Préservation de l’égalité à l’étape Définition de l’algorithme de la spécification cryptographique. Créez une spécification cryptographique pour un module de chiffrement et définissez un algorithme pour le chiffrement et générez la clé. Reportez-vous à la rubrique Créer un module cryptographique pour définir les mécanismes utilisés pour les opérations de chiffrement et pour plus d’informations sur l’activation du chiffrement non déterministe.
	Resource Exchange Entreprise de Chiffrement au niveau des colonnes clé d’instance en instance de manière sécurisée à l’aide des API de chiffrement pour garantir la confidentialité, l’intégrité KMF , l’authentification et la non-répudiation. Resource Exchange est une KMF fonctionnalité qui vous donne la possibilité d’échanger des ressources entre les instances de manière sécurisée. Consultez Échange de ressources du cadre de travail de gestion des clés pour en savoir plus.

Prise en charge de modules et de politiques d’accès aux modules supplémentaires

La version standard de est limitée à cinq modules et stratégies d’accès Chiffrement au niveau des colonnes au module (MAP). Entreprise de Chiffrement au niveau des colonnes prend en charge un plus grand nombre de modules et de MAP.

Informations sur les champs pris en charge

Chiffrement de la pièce jointe

Chiffrement des pièces jointes par défaut

Les clients qui utilisent le chiffrement au niveau des colonnes ont des pièces jointes chiffrées par défaut dans les tables dont le type de configuration de champ chiffré (EFC) actif est .Attachment

Ce chiffrement par défaut défini par la configuration EFC signifie que les administrateurs n’ont pas besoin de déclarer manuellement qu’une pièce jointe doit être chiffrée lors du chargement pour ces tables.

Les administrateurs peuvent empêcher les utilisateurs de joindre des fichiers non chiffrés

Pour plus de détails, voir Empêcher les utilisateurs de joindre des fichiers non chiffrés.

Désactiver le chiffrement par défaut

Si vous ne souhaitez pas que les pièces jointes soient chiffrées par défaut en fonction de la configuration EFC, vous pouvez désactiver cette option en contactant l’assistance ServiceNow .

Pour désactiver cette fonctionnalité, créez un ticket de support avec ServiceNow support et incluez cette déclaration dans un commentaire sur l’enregistrement du ticket :

« Je [nom du client] comprends que je demande ServiceNow la désactivation d’une bonne pratique de sécurité recommandée pour les pièces jointes, et que [l’entreprise cliente] assume tout risque supplémentaire lié à la configuration et à l’utilisation de pièces jointes non chiffrées dans l’application ServiceNow . »

Prise en charge de l’API

Entreprise de Chiffrement au niveau des colonnes met à jour les API setDisplayValue() et setValue() afin qu’elles puissent insérer des données chiffrées pour les champs chiffrés. Il permet également à getDisplayValue() et getValue() de renvoyer des valeurs en clair.

Le script suivant illustre ces changements d’API lorsque la brève description de l’incident est chiffrée :

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

Lorsque vous utilisez getValue() pour obtenir du texte chiffré, votre script ne renvoie plus le texte chiffré. Votre script renvoie le texte en clair, en supposant que l’utilisateur a accès au module de chiffrement. getValue() renvoie le texte chiffré pour les utilisateurs qui n’ont pas accès au module cryptographique.