Chiffrement de champ Enterprise est basé avec Chiffrement de champ et utilise le et sa prise en charge complète des fonctions de gestion des clés. Chiffrement de champ Enterprise assure la protection des clés et la gestion du cycle de vie des clés pour le Cadre de travail de gestion des clés chiffrement des champs au niveau de l’application. Toutes les clés sont protégées par une hiérarchie d’encapsulation de clés ancrée dans les modules de sécurité matériels (HSM) FIPS (Federal Information Processing Standards) 140-2-L3.

Chiffrement de champ Enterprise vous donne la possibilité de gérer la façon dont les champs pris en charge sont chiffrés et déchiffrés conformément aux pratiques de la norme NIST 800-57 . Il utilise également la version la plus récente du chiffrement au niveau des champs, y compris l’intégration pour une protection et une gestion appropriées des clés.

Plus précisément, Chiffrement de champ Enterprise utilise les modules de chiffrement, ce qui vous accorde plus de contrôle sur le chiffrement côté serveur. KMF Vérifie la protection appropriée des clés de chiffrement des données à l’aide de la KMF hiérarchie de clés et du chiffrement d’enveloppe. Votre instance chiffre les données via des modules de chiffrement que vous configurez. Vous pouvez créer une politique d’accès pour chaque module, puis configurer des spécifications cryptographiques et des politiques d’accès et contrôler le contrôle de la gestion du cycle de vie des clés.

Chiffrement de champ Enterprise Prend en charge les politiques d’accès au module basées sur :

Conditions de chiffrement

Terme	Description
	Prise en charge de la gestion des clés Le cadre de gestion des clés (KMF) est fondamental Chiffrement de champ Enterprise . Bénéficiez des options suivantes : Gestion du cycle de vie des clés. Rotation de clés. Consultez Faire pivoter les clés pour en savoir plus. Protection et génération de clés avec les modules de sécurité matériels (HSM) FIPS 140-2-L3. Séparation des rôles et des tâches. Le transfert sécurisé des clés de chiffrement des données entre les instances, telles que les instances de production et de non-production. Clés fournies par le client (CSK) avec emballage de clé. Chiffrement non déterministe. Chiffrement/déchiffrement en masse. Audit de l’accès et de l’utilisation des clés. Consultez Référence du cadre de travail de gestion des clés pour en savoir plus.
	Prise en charge des clés fournies par le client L’un des plus grands avantages Chiffrement de champ Enterprise est que vous pouvez utiliser vos propres clés pour le cryptage. Les administrateurs ont le choix d’utiliser ServiceNow les clés fournies ou vos propres clés fournies par le client (CSK) pour le chiffrement sur le ServiceNow AI Platform®. Vous pouvez également gérer le cycle de vie des clés et décider quand révoquer, faire pivoter et désactiver les clés. Une fois que vous avez activé les clés fournies par le client et créé un module cryptographique, vous téléchargez un jeton et une clé éphémère publique. Vous utilisez le jeton et la clé publique pour encapsuler votre clé, puis la charger dans l’instance. Pour utiliser les clés fournies par le client, reportez-vous aux sections Configurer les paramètres de chiffrement de champ pour sélectionner le type de clé et Utilisation des clés fournies par le client avec Chiffrement de champ Enterprise.
	Prise en charge du chiffrement de champ et du chiffrement des pièces jointes Le chiffrement de champ et le chiffrement de pièce jointe utilisent tous deux des modules cryptographiques et des stratégies d’accès via des configurations de champs chiffrés. Le formulaire Configuration des champs chiffrés est utilisé pour choisir un type de chiffrement de colonne ou de pièce jointe . Consultez pour Définir des configurations de champs chiffrés plus d’informations et les types de champs pris en charge.
	Prise en charge du chiffrement non déterministe Chiffrement de champ Enterprise prend en charge le chiffrement non déterministe pour une sécurité renforcée. Si le système crypte les mêmes données plus d’une fois, les textes chiffrés sont différents à chaque fois. Le chiffrement non déterministe est disponible avec le chiffrement AES (Advanced Encryption Standard) avec le chaînage de blocs de chiffrement (CBC). Vous pouvez activer cette fonctionnalité via l’option Préservation de l’égalité à l’étape Définition de l’algorithme de la spécification cryptographique. Créez une spécification cryptographique pour un module de chiffrement et définissez un algorithme pour le chiffrement et générez la clé. Reportez-vous à la section Créer un module cryptographique pour définir les mécanismes utilisés pour les opérations cryptographiques et pour plus d’informations sur l’activation du chiffrement non déterministe.
	Resource Exchange Chiffrement de champ Enterprise clés d’instance en instance de manière sécurisée à l’aide d’API cryptographiques pour assurer la confidentialité, l’intégrité KMF , l’authentification et la non-répudiation. Resource Exchange est une KMF fonctionnalité qui vous permet d’échanger des ressources entre les instances de manière sécurisée. Consultez Échange de ressources du cadre de travail de gestion des clés pour en savoir plus.

Prise en charge de champs chiffrés supplémentaires

La version standard de Chiffrement de champ est limitée à cinq colonnes chiffrées. Chiffrement de champ Enterprise prend en charge un nombre illimité de colonnes chiffrées.

Informations sur les champs pris en charge

Chiffrement de la pièce jointe

Chiffrement de la pièce jointe par défaut

Les clients utilisant Chiffrement de champ des pièces jointes sont chiffrées par défaut dans des tables dont le type de configuration de champs chiffrés (EFC) actif est Attachment.

Ce chiffrement par défaut défini par la configuration EFC signifie que les administrateurs n’ont pas besoin de déclarer manuellement qu’une pièce jointe doit être chiffrée au chargement pour ces tables.

Les administrateurs peuvent interdire aux utilisateurs de joindre des fichiers non chiffrés

Pour plus de détails, voir Empêcher les utilisateurs de joindre des fichiers non chiffrés.

Refuser le chiffrement par défaut

Si vous ne souhaitez pas que les pièces jointes soient chiffrées par défaut en fonction de la configuration EFC, vous pouvez désactiver cette option en contactant ServiceNow le support.

Pour vous désabonner de cette fonctionnalité, créez un ticket de support auprès ServiceNow du support et incluez cette déclaration dans un commentaire sur l’enregistrement du ticket :

« Je [nom du client] comprends que je demande ServiceNow de désactiver une bonne pratique de sécurité recommandée pour les pièces jointes et que [l’entreprise cliente] assume tout risque supplémentaire lié à sa configuration et à son utilisation de pièces jointes non chiffrées dans l’application ServiceNow . »

Prise en charge de l’API

Chiffrement de champ Enterprise met à jour les API setDisplayValue() et setValue() afin qu’elles puissent insérer des données chiffrées pour les champs chiffrés. Il permet également à getDisplayValue() et getValue() de renvoyer des valeurs en texte clair.

Le script suivant illustre ces changements d’API lorsque la brève description de l’incident est chiffrée :

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

Lorsque vous utilisez getValue() pour obtenir du texte chiffré, votre script ne renvoie plus le texte chiffré. Votre script renvoie le texte en clair, en supposant que l’utilisateur a accès au module de chiffrement. getValue() renvoie le texte chiffré pour les utilisateurs qui n’ont pas accès au module cryptographique.