Clés gérées par le client
Utilisation des clés gérées par le client Auth0 vous permet de configurer le cycle de vie de votre clé principale du locataire et d’apporter votre propre clé racine fournie par le client pour remplacer la clé racine de l’environnement pour votre locataire Auth0.
Les clés gérées par le client offrent deux méthodes de gestion des clés :
Contrôlez votre propre clé : Permet aux éditeurs de gestion des clés de personnaliser le cycle de vie de la clé principale du locataire dans KMS Auth0. :
Apportez votre propre clé : Permet aux éditeurs de gestion des clés de remplacer la clé racine de l’environnement Auth0 et d’importer leur propre clé de chiffrement enveloppée dans le module de sécurité matérielle (HSM) correspondant du nuage Auth0.
Pour en savoir plus sur les clés Auth0, lisez la hiérarchie des clés Auth0.
Pour en savoir plus, lisez Ajouter des membres locataires.
Contrôlez votre propre clé
Vous pouvez contrôler le cycle de vie de votre clé principale du locataire en utilisant le point de terminaison Rekey du Auth0 Management API pour :
Effectuer une rotation de l’ancienne clé principale du locataire avec une nouvelle clé principale du locataire.
Effectuer une rotation et ré-chiffrer les clés d’espace de noms avec la nouvelle clé principale du locataire.
Autorisations
Utilisez les autorisations suivantes pour permettre l’accès aux points de terminaison des clés de chiffrement :
| Autorisations | Descriptions |
|---|---|
create:encryption_keys
update:encryption_keys
|
Les utilisateurs peuvent faire une rotation et re-chiffrer la hiérarchie des clés d’un locataire Auth0 avec le point de terminaison Management API Re-chiffrer les clés . |
Point de terminaison
Utilisez le point de terminaison Management API Rekey pour effectuer une rotation de la clé principale du locataire et pour effectuer une rotation et ré-chiffrer les clés d’espace de noms.
Effectuer une rotation de la clé principale du locataire : désactive la clé principale du locataire actuellement active et crée une nouvelle clé principale du locataire.
Effectuer une rotation de toutes les clés d’espace de noms dans le locataire : désactiver les clés actives et activer les nouvelles clés.
Les nouvelles clés d’espace de noms sont utilisées dans les nouvelles opérations de chiffrement.
Les clés d’espace de noms désactivées sont utilisées pour déchiffrer des données précédemment chiffrées.
Ré-chiffrer toutes les clés d’espace de noms existantes avec la nouvelle clé principale du locataire.
Le point de terminaison n’est disponible que pour les membres du locataire ayant des permissions spécifiques dans Auth0. Par défaut, ces permissions sont accordées aux éditeurs de gestion de clés.
Apportez votre propre clé
En important votre propre clé racine fournie par le client avec la fonction Apportez votre propre clé, vous retirez implicitement à Auth0 l’autorisation de gérer le cycle de vie de la clé racine fournie par le client, à l’exception de sa suppression.
Apportez votre propre clé permet aux éditeurs de gestion des clés d’importer en toute sécurité une clé de chiffrement enveloppée (clé racine fournie par le client) dans un module de sécurité matérielle (HSM) FIPS 140-2 L3 dans le nuage Auth0 correspondant.
En utilisant Apportez votre propre clé, vous pouvez :
Remplacer la clé racine de l’environnement générée par défaut par Auth0 par une nouvelle clé racine fournie par le client.
Effectuer une rotation et ré-chiffrer la hiérarchie de clés avec la clé racine fournie par le client. Par exemple : créer et ré-chiffrer une nouvelle clé principale du locataire et une nouvelle clé d’espace de noms.
Vous pouvez utiliser le tableau de bord ou Management API pour activer Apportez votre propre clé.
Surveiller les événements de journal des clés gérées par le client
Les opérations de clés gérées par le client ajoutent l’événement de journal suivant dans vos journaux des locataires :
Un code d’événement sapi indiquant :
Créer la nouvelle clé de chiffrement
Créer la clé d’encapsulation publique
Importer la clé de chiffrement
Supprimer la clé de chiffrement par son identifiant
Recomposer la hiérarchie des clés
Un code d’événement kms_key_management_success indiquant une opération KMS réussie.
Un code d’événement kms_key_management_failure indiquant une opération KMS qui a échoué.
Un code d’événement kms_key_state_changed indiquant un changement d’état de clé KMS.
Hiérarchie des clés Auth0
Au niveau de l’application Auth0, Auth0 protège les secrets et les données des clients en utilisant le chiffrement d’enveloppe.
La hiérarchie de chiffrement d’enveloppe Auth0 se compose des clés suivantes, chacune étant chiffrée à l’aide de la clé située au-dessus. Le tableau ci-dessous résume la hiérarchie des clés :
| Clé | Algorithme | Stockage |
|---|---|---|
| Clé racine de l’environnement | RSA 2048 OAEP (Auth0 sur Azure) AES-256-GCM (Auth0 sur AWS) |
Module de sécurité matérielle FIPS 140-2 L3 |
| Clé principale du locataire | AES-256-GCM | Base de données Auth0 KMS |
| Clé d’espace de noms | AES-256-GCM | Base de données Auth0 KMS |
| Clé de chiffrement des données | AES-256-GCM | Stocké à côté des données |
Clé de racine de l’environnement
La clé racine de l’environnement représente le sommet de la hiérarchie et enveloppe la clé principale du locataire pour empêcher qu’elle soit divulguée ou altérée en dehors d’Auth0.
Une clé racine d’environnement Auth0 indépendante est générée pour chaque environnement Auth0 et stockée dans un HSM voisin. Les HSM sont déployés dans une configuration géographique multiple hautement disponible. Cela signifie que les HSM basculeront vers une autre région en cas d’incident grave à l’échelle de la région.
La clé racine de l’environnement Auth0 est partagée par tous les locataires. Les clients peuvent utiliser la fonction Apportez votre propre clé pour avoir une clé racine de l’environnement dédiée à leur locataire.
Auth0 utilise les algorithmes suivants pour envelopper la clé principale du locataire avec la clé racine de l’environnement en fonction de votre fournisseur de services infonuagiques Auth0 :
Auth0 sur Azure : RSA 2048 OAEP
Auth0 sur AWS : AES 256 GCM
En utilisant le Auth0 Dashboard ou le Management API, les éditeurs de gestion de clés peuvent remplacer la clé racine de l’environnement Auth0 par leur propre clé racine fournie par le client.
Clés principales du locataire
Chaque locataire possède une clé principale du locataire chiffrée stockée dans le service de gestion des clés Auth0 et chiffre les clés d’espace de noms.
L’algorithme utilisé pour chiffrer la clé principale du locataire est AES256 GCM.
Lorsqu’un Éditeur de gestion de clés utilisant le Auth0 Dashboard ou le Management API a fourni sa propre clé racine fournie par le client, une nouvelle clé principale du locataire est créée.
Clés d’espace de noms
Les clés d’espace de noms séparent les clés de chiffrement utilisées à des fins différentes au sein du locataire. Le nombre et l’utilisation des clés d’espace de noms sont configurés en interne par Auth0 et non disponibles pour la personnalisation.
Le chiffrement et le déchiffrement des clés d’espace de noms nécessitent l’accès à la clé principale du locataire. Les clés d’espace de noms ne quittent jamais le service de gestion des clés Auth0 et ne sont pas accessibles aux développeurs ou aux administrateurs.
Les clés d’espace de noms sont situées dans le service de gestion des clés Auth0 et sont chiffrées au moyen de l’algorithme AES256 GCM.
Clés de chiffrement des données
Le service de gestion des clés Auth0 génère en toute sécurité différentes clés de chiffrement des données pour les demandes ultérieures de chiffrement des données. Le service de gestion des clés Auth0 optimise la sécurité et les performances en émettant régulièrement de nouvelles clés de chiffrement des données.
Le chiffrement et le déchiffrement des clés de chiffrement des données nécessitent l’accès à la clé d’espace de noms qui lui est attribuée. Les clés de chiffrement des données ne peuvent pas être déchiffrées en dehors du service de gestion des clés Auth0 ou par les éditeurs de gestion des clés.
Les clés de chiffrement des données sont situées à côté des données et sont chiffrées au moyen de l’algorithme AES256 GCM.