Contexte : Comment assurer la même sécurité des données, qu’elles soient au repos ou en transit ?
Lenstra a été contacté par le service de sécurité d'une grande institution financière dotée d'une infrastructure complexe, présente à la fois dans des environnements sur site et dans le cloud. En tant qu'entreprise opérant dans un secteur hautement réglementé et manipulant des données financières sensibles, il est essentiel de garantir une sécurité robuste des données au repos et en transit.
Le défi : Garantir la sécurité des données lors de la migration sans ralentir le processus
L'institution déplaçant davantage d'applications vers le Cloud et déployant de nouveaux services, elle devait adapter son approche de la sécurité. Plus précisément, ses clusters de bases de données nécessitaient une authentification TLS mutuelle (mTLS) soutenue par une autorité de certification (CA) dédiée pour sécuriser les communications entre les nœuds.
Cependant, le service d'infrastructure à clés publiques (PKI) existant n'était pas suffisamment flexible pour créer automatiquement l'autorité de certification lors du déploiement de nouveaux clusters de bases de données. Le défi consistait à mettre en œuvre une solution capable de générer dynamiquement et automatiquement des CA à la demande, garantissant la sécurité sans ralentir le déploiement.
Une solution fiable et automatisée
Pour relever ces défis, Lenstra a mis en œuvre une solution « PKI as a Service » utilisant HashiCorp Vault. Cette solution utilisait le moteur de secrets PKI de Vault avec des clés gérées pour fournir une infrastructure PKI automatisée et flexible.
Les principales fonctionnalités de la solution comprenaient :
Génération dynamique d'autorités de certification : le moteur PKI de HashiCorp Vault a été configuré pour générer dynamiquement de nouvelles autorités de certification racines et intermédiaires dans le cadre du processus de déploiement automatisé pour les nouveaux clusters de bases de données.
Intégration avec le module de sécurité matérielle (HSM) : la solution utilisait la prise en charge des clés gérées de Vault, permettant aux clés de chiffrement d'être générées et stockées en toute sécurité dans un module de sécurité matérielle (HSM). Cela a amélioré la sécurité des clés de l'autorité de certification, garantissant qu'elles étaient protégées par les normes les plus élevées de sécurité cryptographique et les exigences du service de sécurité.
Automatisation juste à temps : le nouveau système était entièrement automatisé, permettant la création juste à temps d'autorités de certification à chaque fois qu'un nouveau cluster de bases de données était déployé. Cela garantissait que l'infrastructure de sécurité évoluait de manière transparente à mesure que de nouveaux clusters de bases de données étaient déployés, sans compromettre la sécurité.
Conclusion : Une solution qui permet autonomie, sécurité et efficacité opérationnelle pour le client
La mise en œuvre de PKI en tant que service avec HashiCorp Vault a amélioré la capacité de l'institution financière à gérer son infrastructure PKI. La solution automatisée, évolutive et sécurisée a permis à l'institution de maintenir ses normes de sécurité tout en accélérant l'adoption du cloud et le déploiement de ses services. Les principaux résultats obtenus sont les suivants :
Agilité accrue : l'institution peut désormais déployer rapidement de nouveaux clusters de bases de données, avec les mesures de sécurité nécessaires automatiquement en place, soutenant l'expansion de l'organisation sans délai.
Sécurité renforcée : en intégrant HSM pour la gestion des clés et en automatisant le processus de génération d'autorités de certification, la solution a garanti que toutes les opérations cryptographiques étaient effectuées en toute sécurité, réduisant ainsi le risque de compromission des clés.
Efficacité opérationnelle : l'automatisation de la gestion PKI a réduit la charge de travail de l'équipe de sécurité, lui permettant de se concentrer sur des tâches à plus forte valeur ajoutée tout en maintenant une posture de sécurité solide.