Nous construisons des «coffres-forts numériques» dédiés à l'équipe travaillant sur des données sensibles. L'équipe peut travailler sur tous les types de données (document, codage avec test, laboratoire, calcul,…).
Contents
Cibles
Caractéristiques
Un coffre-fort doit fournir l'utilisation des fonctionnalités suivantes:
- fournir un espace de travail distant sécurisé à une équipe
- Les données doivent être dans cet espace de travail
- L'utilisation des données doit être effectuée dans cet espace de travail
- Différentes équipes doivent être mutuellement isolées
- Les administrateurs de fournisseurs ne doivent pas être en mesure d'accéder aux données
- L'accès physique au matériel ne doit pas permettre d'accéder aux données
Plus précisément
Un coffre-fort est un serveur physique dédié avec des services (hôtes virtuels) pour:
- Confidentialité des données/orienté confidentialité
- Travaillez directement dans le coffre-fort, les données n'ont pas besoin de sortir pour l'usage
- Lorsque personne n'est connecté, les données non chiffrées ne sont pas disponibles
- Le coffre-fort est fermé lorsque le dernier utilisateur se déconnecte
- Réseau et stockage isolés et sécurisés
- Pile de services de base
- Nœuds de services et de calcul évolutifs
- Protégé contre les administrateurs du fournisseur
Comment ça marche
Le coffre-fort est un ensemble d'hôtes virtuels de montage de systèmes de fichiers à partir de l'hyperviseur lui-même. Les hôtes virtuels sont suspend lorsque le coffre-fort est fermé, ou en cours d'exécution lorsqu'il est ouvert. Tous les hôtes virtuels voient le système de fichiers décryptés. La clé est seulement dans l'hyperviseur, et est libéré quand un utilisateur se connectent au coffre-fort (c'est à dire ouvrir un VPN pour les hôtes virtuels VPN, qui n'est jamais suspendre). L'utilisateur passe un hachage de son mot de passe qui est une clé pour libérer la clé du noyau pour déchiffrer le système de fichiers.
Comme vous pouvez le voir, le système de fichiers sous-jacent peut être stocker à un autre endroit sans confiance dans les administrateurs diponibles.
Avantages
Coffres-forts exclusion mutuelle
Même si les
Un ou plusieurs serveurs physiques = un coffre-fort
Il n'y a pas de partage physique des hôtes virtuels sur le même hyperviseur. De cette façon, un coffre-fort ne peut pas être corrompu par un autre.
Hôtes virtuels sans sécurité
Tous les hôtes virtuels dans un coffre-fort ne comptent pas avec la sécurité. Ils ne voient pas que le système de fichiers sont chiffrés. le n'ont pas de clés cryptographiques.
Étant donné que les hôtes virtuels sont sous la gestion des utilisateurs sûrs, ils ne peuvent pas se connecter à Internet, ou avec des règles spécifiques (proxys).
L'hyperviseur doit être endommagé pour obtenir la clé.
Les utilisateurs ont des clés
La clé de décyphering est dans le noyau de l'hyperviseur et est libérée par le mot de passe de l'utilisateur avec une communication spécifique entre la passerelle VPN (hôte virtuel) et l'hyperviseur. Lorsque le coffre-fort est fermé (c'est à dire aucun utilisateur connecté), il n'est pas possible de l'ouvrir sans clés, même si vous êtes root sur l'hyperviseur.
(Bien sûr, si le coffre-fort est ouvert, root sur l'hyperviseur ou sur les hôtes virtuels peuvent voir/modifier les données).
Disponibilité
Début janvier, 2015 pour l'adhésion à l'INRIA.
Vous pouvez nous contacter si vous êtes interressé dans un tel hébergement ou solution.