Comment gérez-vous le chiffrement au repos et en transit dans le cloud ?
Réponse courte
Le chiffrement en transit (TLS) protège les données circulant sur le réseau contre l'écoute et l'altération ; imposez TLS partout et rejetez le texte clair. Le chiffrement au repos protège les données stockées sur les disques et les sauvegardes, généralement via des clés gérées par KMS utilisant le chiffrement par enveloppe. Les deux sont des contrôles de base, mais aucun n'arrête une requête autorisée mais malveillante — le service déchiffre de manière transparente pour les appelants valides — donc le contrôle d'accès reste primordial.
Le chiffrement est un prérequis dans le cloud, mais les candidats surestiment souvent ce qu'il apporte. Une bonne réponse couvre les deux états des données et reste honnête sur le modèle de menace.
En transit — protéger les données sur le fil
Les données circulant entre clients, services et régions peuvent être lues ou modifiées par quiconque se trouve sur le chemin. TLS assure la confidentialité et l'intégrité de ce trafic.
- Imposez TLS partout, y compris pour les appels internes de service à service — « c'est à l'intérieur du VPC » n'est pas une garantie contre un hôte compromis ou un trafic mal routé.
- Rejetez explicitement le texte clair (par ex. une politique de stockage refusant les requêtes où
aws:SecureTransportest false), pour qu'un client mal configuré ne puisse pas silencieusement revenir en arrière.
Au repos — protéger les données stockées
Le chiffrement au repos protège les données sur les disques, instantanés et sauvegardes afin qu'un support volé ou mal mis hors service soit inutilisable.
- Les services cloud s'intègrent à KMS en utilisant le chiffrement par enveloppe : KMS détient la clé maître, génère une clé de données par objet, et la clé de données chiffre les données. Les politiques de clé KMS décident qui peut déchiffrer.
- Les clés gérées par le client (CMK) vous donnent le contrôle sur la rotation, la politique d'accès et la révocation ; les clés gérées par le fournisseur sont plus simples mais moins contrôlables. Choisissez selon vos besoins de conformité.
La limite honnête
Voici la nuance que sondent les recruteurs : le chiffrement au repos n'arrête pas une requête autorisée. Lorsqu'un principal IAM valide lit un objet, le service le déchiffre de manière transparente. Ainsi un rôle aux permissions excessives ou une politique de bucket publique fait fuiter des données malgré le chiffrement. Le chiffrement défend contre le vol de support et l'écoute réseau — pas contre un mauvais contrôle d'accès.
Ce que recherchent les recruteurs
Distinguer les deux états et leurs menaces distinctes, connaître le chiffrement par enveloppe KMS et les CMK par rapport aux clés gérées, et affirmer que le chiffrement complète — ne remplace jamais — les contrôles IAM et de politique.
Questions de suivi probables
- Contre quelle menace le chiffrement au repos défend-il réellement ?
- Quelle est la différence entre les clés KMS gérées par le fournisseur et celles gérées par le client ?
- Pourquoi le chiffrement au repos n'arrête-t-il pas une requête d'un principal IAM aux permissions excessives ?