Rotation des clés de chiffrement

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Effectuez la rotation de la clé de chiffrement à partir de l’instance. Ajoutez une nouvelle clé, modifiez l’affectation de clé par défaut, puis planifiez une rotation de clés en masse ou une rotation de clés unique.

    Avant de définir une clé de chiffrement comme clé par défaut, rendez la clé disponible pour chaque proxy. Cela garantit que les proxys disposent de la clé pour chiffrer les données lorsque la clé est affectée comme clé par défaut. Tous les proxys doivent avoir accès à une clé avant que cette clé puisse être affectée comme clé par défaut.

    Avertissement :
    Avant de supprimer une clé du proxy, configurez et exécutez une tâche de rotation de clés en masse pour vous assurer qu’aucune donnée de l’instance n’utilise la clé. Si des informations sont toujours chiffrées avec cette clé, vous ne pouvez pas les déchiffrer après avoir supprimé la clé.

    Comportement de filtrage et de tri des bordures

    Chaque fois que vous modifiez les clés par défaut, assurez-vous d’effectuer une rotation de clés (soit en masse, soit en rotation de clés unique). Dans le cas contraire, vous risquez de recevoir des résultats inattendus lors du tri et du filtrage des enregistrements. Imaginons par exemple le scénario suivant :
    1. Vous créez des enregistrements chiffrés à l’aide d’une clé de chiffrement.
    2. Vous créez une nouvelle clé et la définissez par défaut.
    3. Vous créez un ensemble d’enregistrements chiffrés à l’aide de la nouvelle clé de chiffrement.
    Si vous filtrez par un champ chiffré lorsque vous êtes connecté via le proxy Edge, tous les enregistrements peuvent ne pas être filtrés correctement ou des enregistrements peuvent apparaître de manière inattendue. Le filtre fonctionne uniquement pour les enregistrements chiffrés à l’aide de la clé par défaut actuelle. Les enregistrements chiffrés à l’aide de la clé par défaut précédente apparaissent toujours dans la vue de liste.

    Si vous triez par un champ chiffré lorsque vous êtes connecté via le proxy Edge, vous voyez deux groupes d’enregistrements avec le même texte lisible par l’homme dans le champ chiffré.

    Planifier une seule tâche de rotation de clé

    Planifiez une tâche pour rechercher des données chiffrées à l’aide d’un alias de clé spécifié, puis chiffrez à nouveau les données avec la clé de chiffrement par défaut actuelle. Les données sont déchiffrées avant d’être à nouveau chiffrées avec la clé par défaut.

    Avant de commencer

    Rôle requis : security_admin

    Avant de planifier cette tâche, mettez à jour la clé par défaut dans Configuration de Chiffrement Edge > Configuration de la clé de chiffrement > Définir les clés par défaut.

    Procédure

    1. Accédez à la Configuration de Chiffrement Edge > Maintenance > Planifier la rotation de clé unique.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Valeur
      Nom Saisissez un nom descriptif.
      Type de travail Sélectionnez Rotation de clé unique.
      Clé Entrez la clé à mettre hors service. Vérifier que cette clé n’est plus la clé par défaut dans Configuration de Chiffrement Edge > Configuration de la clé de chiffrement > Définir les clés par défaut.
      Estimer le nombre d’enregistrements Nombre total estimé d’enregistrements à traiter. Non disponible lors de l’exécution d’une seule rotation de clés.
      Traiter les enregistrements historiques

      Sélectionnez cette option pour traiter les enregistrements historiques dans la table Audit si le champ est audité. Lors du chiffrement des enregistrements historiques d’un champ de la table Audit, les nouvelles valeurs et les anciennes valeurs sont chiffrées. Ce champ est en lecture seule et actif.

      Pour en savoir plus sur les champs audités, consultez Audit.
      Estimer le nombre d'enregistrements d'audit maximal Nombre maximal estimé d’enregistrements audités à traiter. Non disponible lors de l’exécution d’une seule rotation de clés.
      Actifs Décochez cette case si vous souhaitez désactiver cette tâche.
      Exécution Sélectionnez la période entre les exécutions de tâches.
      En cours de démarrage Entrez la date et l’heure d’exécution de la tâche pour la première fois.
    3. Cliquez sur l’icône de menu dans l’en-tête du formulaire et sélectionnez Enregistrer.
      Estimer le nombre d’enregistrements n’est pas pris en charge lors du traitement des champs audités.

    Planifier une tâche de rotation des clés en masse

    Planifiez une tâche pour rechercher des données chiffrées avec une clé précédente, puis chiffrez à nouveau les données avec les clés de chiffrement par défaut actuelles. Les données sont déchiffrées avant d’être à nouveau chiffrées avec la clé par défaut actuelle.

    Avant de commencer

    Rôle requis : security_admin

    Procédure

    1. Accédez à la Tout > Configuration de Chiffrement Edge > Maintenance > Planifier la rotation de clés en masse.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Valeur
      Nom Saisissez un nom descriptif.
      Type de travail Sélectionnez Rotation de clés en masse.
      Estimer le nombre d’enregistrements Nombre total estimé d’enregistrements à traiter. Non disponible lors de l’exécution d’une rotation de clés en masse.
      Traiter les enregistrements historiques

      Sélectionnez cette option pour traiter les enregistrements historiques dans la table Audit si le champ est audité. Lors du chiffrement des enregistrements historiques d’un champ de la table Audit, les nouvelles valeurs et les anciennes valeurs sont chiffrées. Ce champ est en lecture seule et actif.

      Pour en savoir plus sur les champs audités, consultez Audit.
      Estimer le nombre d'enregistrements d'audit maximal Nombre maximal estimé d’enregistrements audités à traiter. Non disponible lors de l’exécution d’une rotation de clés en masse.
      Actifs Décochez cette case pour désactiver cette tâche.
      Exécution Sélectionnez la période entre les exécutions de tâches.
      En cours de démarrage Entrez la date et l’heure d’exécution de la tâche pour la première fois.
    3. Cliquez sur l’icône de menu dans l’en-tête du formulaire et sélectionnez Enregistrer.
      Estimer le nombre d’enregistrements n’est pas pris en charge lors du traitement des champs audités.

    Planifier une tâche de rotation clé de pièce jointe

    Planifiez une tâche pour rechercher des pièces jointes chiffrées à l’aide d’un alias de clé spécifié, puis chiffrez de nouveau les pièces jointes avec la clé de chiffrement par défaut actuelle. La pièce jointe est déchiffrée avant d’être chiffrée à nouveau avec la clé par défaut.

    Avant de commencer

    Rôle requis : security_admin

    Procédure

    1. Accédez à la Tout > Configuration de Chiffrement Edge > Maintenance > Planifier la rotation clé des pièces jointes.
    2. Renseignez les champs du formulaire comme il convient.
      Champ Valeur
      Nom Saisissez un nom descriptif.
      Type de travail Sélectionnez la rotation clé de la pièce jointe.
      Actifs Décochez la case si vous souhaitez désactiver cette tâche.
      Table Selectionner une table.
      Exécution Sélectionnez la période entre les exécutions de tâches.
      En cours de démarrage Entrez la date et l’heure d’exécution de la tâche pour la première fois.
    3. Cliquez sur l’icône de menu dans l’en-tête du formulaire et sélectionnez Enregistrer.
    4. Pour afficher un nombre estimé d’enregistrements à mettre à jour, cliquez sur Nombre d’enregistrements estimé.
    5. Pour exécuter immédiatement la tâche, cliquez sur Exécuter maintenant.