automation-cloud
latest
false
UiPath logo, featuring letters U and I in white
Guide d'administration d'Automation Cloud
Last updated 19 nov. 2024

Chiffrement ALE avec clés gérées par le client

Cette fonctionnalité est disponible dans tous les niveaux de notre plan de licence Enterprise, y compris dans le plan Standard.

Avertissement :

L’activation de la clé gérée par le client a de sérieuses implications en ce qui concerne l’accès aux données. Si des problèmes clés surviennent, vous risquez de perdre l’accès à vos données.

Consultez la table ci-dessous pour connaître certains scénarios problématiques courants et leurs solutions.

Scénario

Solution

Vos informations d'identification pour accéder à Azure Key Vault (AKV) ont expiré ou ont été supprimées.

Si vous pouvez toujours vous connecter à l'aide de votre e-mail et de votre mot de passe (Sans authentification unique)...

... et si vous êtes un administrateur d'organisation, vous pouvez mettre à jour vos informations d'identification dans la section Chiffrement (Encryption) de la page Admin de l'organisation.

... et si vous n'êtes pas administrateur d'organisation, vous pouvez demander, via un ticket d'assistance, d'être promu au rôle d'administrateur ; vous pouvez ensuite mettre à jour vos informations d'identification dans la section Chiffrement (Encryption) de la page Admin de l'organisation.

Si vous ne pouvez plus vous connecter, fournissez votre ID d'organisation via un ticket d'assistance, et nous pourrons vous inviter et vous promouvoir en tant qu'administrateur. Vous pouvez ensuite mettre à jour vos informations d'identification dans la section Chiffrement (Encryption) de la page Admin de l'organisation.

Une fois que vous avez rétabli l'accès à la connexion, nous vous recommandons de créer une clé AKV et un ensemble d'informations d'identification, puis de configurer la clé gérée par le client à l'aide de ces nouvelles informations, garantissant ainsi que personne d'autre n'a accès à vos informations d'identification.

Votre clé AKV a expiré.

Votre clé gérée par le client fonctionne toujours, mais nous vous recommandons de passer à une nouvelle clé.

Votre clé AKV a expiré.

Vous pouvez restaurer votre clé AKV depuis le portail Azure pendant la période de rétention.

Votre clé AKV a été purgée, mais elle contenait une sauvegarde.

Vous pouvez restaurer la clé à partir de la sauvegarde du portail Azure. Par défaut, la clé restaurée a le même ID que celui d'origine, que vous ne devez pas modifier.

Votre clé AKV a été purgée, mais elle contenait une sauvegarde.

Avertissement :

Il n’y a pas de solution pour ce scénario. Dans cette situation, vos données client UiPath® sont perdues.

Vue d'ensemble (Overview)

En plus du chiffrement TDE (chiffrement transparent des données) standard au niveau du stockage, certains services utilisent également le chiffrement ALE (chiffrement implicite au niveau de l'application). Cela signifie que les données sont chiffrées au niveau de la couche d'application avant d'être stockées, offrant ainsi une couche de sécurité supplémentaire.

De plus, certains services/certaines ressources offrent un chiffrement facultatif activé par l'utilisateur connu sous le nom de chiffrement ALE en option. Cela vous donne la possibilité de décider si ces services/ressources doivent utiliser ou non le chiffrement ALE. Pour obtenir la liste des services ou ressources et les types de chiffrement correspondants, veuillez vous référer à la page sur les données chiffrées de notre documentation.

Pour les services avec chiffrement ALE, implicite ou en option, vous avez la possibilité de choisir qui gère la clé de chiffrement Elle peut être gérée soit par UiPath, soit par vous-même. Pour vous aider, Azure Key Vault prend en charge la gestion des versions des clés secrètes, permettant de générer une clé secrète à utiliser pour configurer votre clé au niveau de l’organisation.

Une fois que vous avez activé la clé gérée par le client, les données précédemment sauvegardées ne sont pas chiffrées à nouveau et toutes les sauvegardes existantes sont supprimées une fois qu'elles ont expiré. Seules les nouvelles données sont chiffrées à l'aide de cette option.

Explication des clés gérées par le client

Dans l'architecture de clé gérée par le client, les produits ou services de plate-forme UiPath (tels que UiPath Orchestrator ou UiPath Identity Service) chiffrent généralement les données client sensibles avant de les stocker. Lorsque l'accès aux données est requis, le produit ou le service appelle votre infrastructure de gestion de clés pour obtenir la clé de déchiffrement. Cela vous donne le contrôle des données chiffrées dans UiPath, car vous avez la possibilité de refuser de renvoyer la clé.

Ce processus implique les composants suivants :

  • Le service de gestion des clés (KMS) - il s'agit de l'outil interne d'UiPath, développé à des fins de chiffrement des clés.
  • La clé de chiffrement des données (DEK ou KMS DEK) - utilisée pour chiffrer les données en texte brut. En règle générale, la DEK est générée par le KMS ou par le coffre de clés interne d'UiPath, et n'est jamais stockée en texte clair.
  • La clé de chiffrement de clé (KEK) : utilisée pour chiffrer la clé DEK. Le processus de chiffrement d'une clé est appelé encapsulation de clé. Généralement, la KEK est générée par vous, elle est stockée dans votre coffre de clés et constitue la clé réelle gérée par le client qui est contrôlée par votre service de gestion de clés.
  • La clé de chiffrement des données chiffrées (EDEK) - il s'agit de la DEK qui est encapsulée par la KEK. En règle générale, cette clé est stockée par le fournisseur de services (tel qu'Orchestrator) ; par conséquent, chaque fois qu'un service doit accéder à des données chiffrées, le service appelle le service de gestion des clés du client pour obtenir la KEK nécessaire au déchiffrement de l'EDEK et pour produire la DEK qui est ensuite utilisée pour déchiffrer les données.
  • La clé interne UiPath : elle est utilisée pour chiffrer les colonnes de données, y compris la clé CMK et la clé DEK KMS.

Ce diagramme illustre comment les différents composants impliqués dans l'activation des clés gérées par le client fonctionnent ensemble :



Activation de la clé gérée par le client

Avertissement :

L’activation de la clé gérée par le client a de sérieuses implications en ce qui concerne l’accès aux données. Si des problèmes clés surviennent, vous risquez de perdre l’accès à vos données.

Pour créer les informations d’identification nécessaires et activer cette option :

  1. Créez les informations d'identification requises dans Azure Key Vault.
    Remarque :
    • Le coffre de clés peut être créé dans n'importe quelle région, mais nous recommandons qu'il appartienne à la même région que votre organisation.
    • UiPath a accès au coffre de clés utilisé pour la clé gérée par le client. Nous vous recommandons donc de créer un coffre dédié uniquement à cette fin.
    • Cette fonctionnalité prend en charge toute taille de clé pouvant être configurée dans un coffre de clés.
    • Nous prenons uniquement en charge les politiques d’accès au coffre de clés pour contrôler l’accès aux ressources Azure. Ces stratégies doivent être configurées avec des autorisations Wrap Key et Unwrap Key pour les opérations cryptographiques, et des autorisations secrètes Get et Set pour les opérations de gestion des clés secrètes.
    docs image
  2. Connectez-vous à Automation Cloud en tant qu'administrateur d'organisation.
  3. Accédez à Admin, sélectionnez le nom de l'organisation dans le panneau de gauche, puis cliquez sur Sécurité (Security).
    La page Paramètres (Settings) s'affiche.


  4. Dans la section Chiffrement (Encryption), sous Type de chiffrement (Encryption type), sélectionnez Clé gérée par le client (Customer managed key).
    La fenêtre Configuration de clé gérée par le client (Customer managed key configuration) s'affiche.
    docs image
  5. Remplissez les informations requises telles que définies dans le portail Azure :
    1. ID (locataire) de l’annuaire Azure (Azure directory (tenant) ID) (créé dans le cadre de l’enregistrement de l’application dans Azure) :

    2. ID (locataire) de l’ annuaire Azure (Azure directory (tenant) ID) (créé dans le cadre de l’enregistrement de l’application dans Azure) :

    3. Clé secrète du client (créée dans le cadre de l'enregistrement de l'application dans Azure) ou Certificat (Certificate) (créé dans Azure Key Vault et téléchargé lors de l'enregistrement de l'application dans Azure) :

      Si vous optez pour le certificat, assurez-vous qu'il est correctement configuré comme décrit dans Configuration d'un certificat Azure Key Vault .
    4. Identifiant de clé de la clé secrète ou du certificat (créé dans Azure Key Vault) :

      Important : Obligatoire : assurez-vous de sélectionner les options Encapsulation de la clé (Wrap key) et Décapsulation de la clé (Unwrap key) pour permettre l’utilisation de cet élément en tant que clé gérée par le client.
  6. Cliquez sur Tester et enregistrer (Test and save).
    Un message de confirmation s'affiche, vous informant que vous avez configuré votre propre clé de chiffrement.


    Si vous obtenez un message d'erreur à la place, vérifiez vos informations d'identification, puis réessayez.
Remarque :

La propagation de la nouvelle clé gérée par le client peut prendre 15 minutes après sa création. Cela est dû au fait que notre cache interne empêche la propagation répétée de la même clé, pour des raisons de performances.

Avec Orchestrator, le cycle de mise en cache pour la récupération de clé externe dure une heure ; en plus de cela, le cycle de mise en cache pour une utilisation interne est de 15 minutes supplémentaires.

Configuration d'un certificat Azure Key Vault pour UiPath

Le chiffrement avec une clé gérée par le client peut être effectué avec une clé secrète ou un certificat. Pour plus de détails sur la configuration des certificats, vérifiez la configuration et la récupération d'un certificat à partir d'Azure Key Vault dans la documentation Microsoft. Suivez ces étapes de haut niveau pour configurer un certificat Azure Key Vault pour le chiffrement :

  1. Connectez-vous à Azure Key Vault et accédez à la section Certificats (Certificates) .

  2. Créez un certificat avec le sujet en tant que CN=uipath.com et le type de contenu en tant que PEM.
    docs image
  3. Après la création, téléchargez le certificat au format PFX/PEM. Enregistrez également l' identifiant de la clé (Key Identifier) pour une utilisation ultérieure.
    docs image
  4. Ouvrir le fichier .pem avec un éditeur de texte. Il doit être composé de deux sections : BEGIN PRIVATE KEY/END PRIVATE KEY et BEGIN CERTIFICATE/END CERTIFICATE.
    docs image
  5. Créez un nouveau fichier .pem contenant uniquement les lignes entre BEGIN CERTIFICATE et END CERTIFICATE.
  6. Dans le portail Azure, localisez l'onglet Certificats et clés secrètes ( Certificates & secrets) dans votre Inscription d'application (App Registration) et téléchargez le nouveau fichier .pem .
    docs image
  7. Dans Automation Cloud, dans le cadre de la configuration de clé gérée par le client, vous devez ajouter l'intégralité du contenu du certificat .pem téléchargé à partir d'Azure Key Vault dans le champ Clé secrète ou certificat client (Client secret or certificate ), et ajouter l' identificateur de clé tel qu'il se trouve dans Azure Key Vault .

Activation de la clé gérée par le client

Une fois que vous avez activé cette option, vous pouvez également modifier tous les détails liés à la connexion. À cette fin, cliquez sur Modifier la connexion (Edit connection) sous l'option Clé gérée par le client (Customer managed key) et modifiez les informations si nécessaire.

Rotation des clés

Il est recommandé d’effectuer une rotation régulière de vos clés afin d’assurer la protection continue de vos données chiffrées contre toute violation potentielle.

La rotation automatique peut être configurée dans Azure Key Vault, mais vous devez toujours mettre à jour manuellement les informations de clé gérées par le client pour votre organisation Automation CloudTM :

  1. Créez une nouvelle clé dans votre Azure Key Vault actuel ou dans un nouveau coffre.
  2. Revenez à la page Paramètres de sécurité (Security Settings) de votre organisation Automation CloudTM .
  3. Cliquez sur Modifier la connexion (Edit connection) sous Clé gérée par le client (Customer managed key), puis ajoutez les détails de la nouvelle clé que vous avez créée.

La rotation des clés ne fonctionne que si l'ancienne et la nouvelle clé sont toujours valides.

Audit de rotation des clés : vous pouvez voir les modifications apportées aux clés gérées par le client sur la page Audit d'Orchestrator, au niveau du locataire.

Rétrogradation de la licence

Si votre plan Enterprise expire, vous êtes automatiquement rétrogradé au plan Free. Voici ce à quoi vous pouvez vous attendre en termes de chiffrement des données :

  • L'option Clé gérée par le client (Customer managed key) est toujours activée pour vous, mais elle est grisée dans l'interface. En tant que tel, vous ne pouvez plus modifier ses valeurs, telles que la modification des détails du coffre de clés.
  • Vous pouvez passer à la Clé gérée par UiPath (UiPath managed key) (par défaut), mais vous ne pourrez pas revenir à la Clé gérée par le client (Customer managed key) tant que votre plan ne sera pas mis à niveau vers Enterprise.

Meilleures pratiques d'utilisation des clés gérées par le client

Il y a quelques détails importants à garder à l'esprit avant de commencer à utiliser des clés gérées par le client :

  • Une fois que vous commencez à utiliser une nouvelle clé dans le cadre du processus de rotation des clés, l'ancienne ne peut plus être utilisée pour accéder aux données et les chiffrer. Il est donc important de conserver toutes les anciennes clés dans le coffre de clés, à savoir de les désactiver au lieu de les supprimer. Ceci est particulièrement important dans les scénarios de récupération d'urgence, où UiPath peut avoir besoin de revenir à une sauvegarde d'une ancienne version de la base de données. Si cette sauvegarde utilise l'une de vos anciennes clés, vous pouvez effectuer une rotation vers celle-ci pour récupérer l'accès aux données.

    Si vous choisissez de supprimer une clé, il est important que vous utilisiez la fonctionnalité suppression temporaire (soft-delete).

  • Si vous perdez votre clé, vous ne pourrez plus vous connecter au coffre-fort. Vous devez donc toujours créer une sauvegarde de la clé sur le portail Azure ou dans un coffre de clés sécurisé distinct d'Azure, conformément aux politiques de sécurité de votre organisation.
  • Si vous exploitez l'Authentification unique pour accéder aux services UiPath, vous pouvez envisager de créer un compte local qui fonctionnera comme un compte Break Glass. Étant donné que les informations du fournisseur d'identité externe sont incluses dans les données chiffrées par la clé gérée par le client, les comptes d'Authentification unique seront inaccessibles si votre coffre de clés devenait inaccessible.
  • Pour des raisons de sécurité, les utilisateurs qui ne disposent pas de privilèges d'administrateur de niveau supérieur ne doivent pas avoir de droits de purge sur la clé gérée par le client.
  • Si vous ne souhaitez plus qu'UiPath ait accès à vos données, vous pouvez désactiver la clé à partir d'Azure Key Vault, comme indiqué dans l'image ci-dessous :



    En savoir plus sur les actions de récupérationAzure Key Vault.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.