La sécurisation des données clients est de la plus haute importance pour les entreprises, grandes et petites. La réglementation et les lourdes ramifications juridiques sont au premier plan pour les équipes de sécurité chargées de garantir que les données sensibles restent hors de portée du personnel externe et interne non autorisé.
Le cryptage joue un rôle clé pour rendre possible ce qui précède. Alors que Rockset applique ses propres clés de cryptage aux données des clients, certaines équipes de sécurité souhaitent être propriétaires de leur propre destin en matière de gestion du calendrier de rotation et disposer d’un mécanisme d’urgence pour « briser la vitre » en cas de violation. Pour ce faire, les données de la collection Rockset peuvent désormais être chiffrées au repos avec Clés de chiffrement gérées par le client, également souvent appelé apportez votre propre clé (BYOK). Les clients conservent le contrôle total de la clé, tout en accordant au compte Rockset AWS l’autorisation de crypter et de déchiffrer les données à l’aide de cette clé.
Configuration des clés de chiffrement gérées par le client
Pour garantir la compatibilité avec cette fonctionnalité, les clients doivent suivez les instructions de la documentation Rockset pour créer une clé AWS Key Management Service (KMS). Une fois l’organisation créée et liée à l’ARN de la clé KMS fournie par le client, toutes les collections créées sur cette organisation sont chiffrées au repos à l’aide de cette clé. L’ARN de la clé de chiffrement ne peut pas être modifié une fois l’organisation créée, mais les clients peuvent éventuellement activer la rotation automatique des clés sur la clé fournie.
Comportement lorsque la clé n’est pas disponible
Une fois créées, les organisations Rockset utilisant une clé de cryptage gérée par le client se comportent exactement de la même manière que toute autre organisation Rockset : la seule différence réside dans la clé de cryptage utilisée pour protéger les données de collecte. Cependant, les clients peuvent désactiver ou modifier la configuration de la stratégie de la clé KMS fournie. La désactivation de l’accès à la clé empêchera Rockset de chiffrer de nouvelles données ou de déchiffrer les données de collection existantes, ce qui entraînera des échecs de requête et d’ingestion en quelques minutes.
Si Rockset retrouve rapidement l’accès à la clé, les requêtes et l’ingestion deviennent disponibles en quelques minutes. Toutefois, si la clé KMS reste indisponible pendant plusieurs heures, toutes les collectes au sein de l’organisation sont suspendues et les données en transit et les caches sont purgés. Cela empêche Rockset d’accéder aux données de collecte des clients. Les collections suspendues en raison d’une indisponibilité de clé pendant plusieurs heures deviennent irrécupérables.
Pour plus d’informations sur la façon dont vous pouvez utiliser les clés de chiffrement gérées par le client dans votre organisation Rockset, veuillez consulter notre Clés de chiffrement gérées par le client guide.
