Tout au long du processus de sauvegarde avec Rubrik, les données du client sont cryptées, de la sauvegarde à la restauration. Peu importe que les données soient conservées dans le cluster local ou dans le nuage.  Mais comment Rubrik met-il cela en œuvre ?

 

Cryptage de bout en bout

Le chiffrement de Rubrik peut être divisé en deux domaines de données différents : Données au repos et données en vol.
Le chiffrement des données au repos (DARE) est une stratégie clé pour le déploiement d’une approche de défense en profondeur dans le monde de la sécurité. Avec Rubrik Zero Trust Data Management™ et le système de fichiers immuables, cela constitue la base de la sécurité du système Rubrik. Rubrik sécurise les données au repos via deux options : le cryptage logiciel et le cryptage matériel.

Cryptage des logiciels

Le chiffrement du logiciel chez Rubrik est effectué au niveau de l’application. Lorsque les données sont lues, Rubrik génère une clé de chiffrement symétrique des données (DEK) à usage unique avec le chiffrement AES-256. Il crypte à la fois les données de sauvegarde qui sont lues et toutes les métadonnées associées. Cela rend les données essentiellement illisibles sans le DEK associé, même pour la plate-forme de rubriques elle-même. Le DEK associé doit également être sauvegardé en même temps que les données elles-mêmes. Si le stockage local du DEK généré est une option, il présente un risque pour la sécurité car toute personne disposant du DEK peut décrypter les données. Pour éviter cela, Rubrik utilise une technique appelée Envelope Encryption, qui chiffre le DEK avec une autre clé, la Key Encryption Key (KEK). Le DEK crypté est ensuite stocké avec les données en texte chiffré, tandis que toute version en clair de celui-ci est immédiatement effacée de la mémoire. Lorsque Rubrik a besoin de lire les données, il passe par deux phases de chiffrement, en déchiffrant d’abord le DEK avec un KEK, puis en déchiffrant les données elles-mêmes. Pour obtenir et gérer les KEK, les clients peuvent utiliser soit la puce interne Trusted Platform Module (TPM) de l’appliance Rubrik, soit un serveur externe de gestion de clés conforme au protocole KMIP (Key Management Interoperability Protocol), comme ceux proposés par Hytrust ou Cryptsoft. Dans les deux cas, une simple rotation des clés sur les KEK est possible via l’interface utilisateur ou l’API RESTful.

Cryptage matériel

Les organismes gouvernementaux fédéraux, étatiques ou locaux sont souvent confrontés au défi de protéger des quantités croissantes de données sensibles et sont soumis à des réglementations strictes en matière de cryptage. Pour relever ces défis, Rubrik propose également des plates-formes qui atteignent le plus haut niveau de protection grâce à des disques durs et des disques à état solide auto-cryptés et validés FIPS 140-2 niveau 2.

Le chiffrement matériel fonctionne de la même manière que le chiffrement logiciel, mais au lieu que Rubrik effectue le chiffrement des données dans le logiciel, les lecteurs à chiffrement automatique utilisent le micrologiciel du lecteur pour effectuer le chiffrement. Chaque lecteur auto-crypteur utilise un mot de passe pour générer ses DEK, et les DEK n’entrent jamais dans la zone de stockage. Ces mots de passe, semblables aux DEK générés dans la rubrique, sont ensuite cryptés par un KEK, qui est lui-même géré par un TMP interne ou un serveur de gestion de clés externe conforme au KIMP.

Cryptage des données actives

Si le cryptage des données au repos est souvent au centre des préoccupations, il est tout aussi important que toutes les données soient cryptées en transit. Que ce soit pour prévenir les attaques de type “man-in-the-middle”, les renifleurs de paquets ou les activités malveillantes en général, il est essentiel de crypter les données lorsqu’elles transitent sur le réseau. Comme vous pouvez l’imaginer, une solution de gestion des données gère les données – ce qui signifie non seulement devenir un dépôt central pour toutes les données de production, mais aussi déplacer ces données en effectuant des tâches pour prendre en charge des fonctions telles que l’archivage et la réplication à long terme. 

Comme indiqué ci-dessus, Rubrik peut voir toutes les communications externes et internes entre les objets protégés, la plateforme Rubrik sur site, le Cloud et Rubrik Polaris. Toutes les communications entrant et sortant de la plateforme Rubrik sont cryptées comme suit :

Les communications entre les environnements protégés et Rubrik sont entièrement cryptées. Les communications vers et depuis les environnements VMware vSphere utilisent le protocole NBDSSL, tandis que les communications vers et depuis d’autres sources protégées sont cryptées à l’aide de TLS. En plus de garantir que chaque demande de nœud interne est autorisée et authentifiée, toutes les communications au sein du cluster Rubrik sont cryptées en utilisant l’approche “sans confiance” d’une architecture de nœud à nœud à confiance zéro via TLS. Lorsque les données sont archivées, que ce soit vers un fournisseur de stockage en nuage public ou vers un magasin d’objets local, une cible NFS ou une bande, elles sont entièrement cryptées par TLS pendant la transmission. Les données elles-mêmes sont également cryptées au repos, quel que soit le lieu de stockage. Lorsque les données sont répliquées vers un autre cluster Rubrik à des fins de DR, toutes les communications entre les clusters sont entièrement cryptées via TLS. La communication entre Rubrik Polaris et les clusters est également entièrement cryptée via TLS.

De nombreuses offres SaaS autour de la protection cloud-native dans Rubrik Polaris doivent également communiquer avec les environnements cloud des clients. Toutes les communications entre Rubrik Polaris et un compte cloud client sont cryptées via TLS.
En outre, toutes les demandes adressées à la plateforme Rubrik, que ce soit via l’interface utilisateur ou un point de terminaison de l’API RESTful, doivent être authentifiées et autorisées et sont entièrement cryptées via TLS. De nombreuses offres SaaS autour de la protection cloud-native dans Rubrik Polaris doivent également communiquer avec les environnements cloud des clients. Toutes les communications entre Rubrik Polaris et un compte cloud client sont cryptées via TLS. En outre, toutes les demandes adressées à la plateforme Rubrik, que ce soit via l’interface utilisateur ou un point de terminaison de l’API RESTful, doivent être authentifiées et autorisées et sont entièrement cryptées via TLS.

Globalement, l’ensemble de la pile logicielle Rubrik repose sur l’idée de la gestion des données à confiance zéro, ne fait confiance à rien par défaut, fournit un contrôle d’accès basé sur les rôles et prend en charge l’authentification multifactorielle, le tout soutenu par un système de fichiers immuable distribué. 

Vous êtes intéressé par Rubrik ou vous voulez lancer un nouveau projet ? Contactez-nous, votre contact commercial TIM se fera un plaisir de vous conseiller et de vous aider.