...est-ce qu'il n'est pas plus simple de mettre le chiffrement au niveau fs ou stockage (luks) pour avoir du même coup le chiffrement de toutes les méta-données (par là j'entends les logs, la base relationnel, etc.)
...est-ce qu'il n'est pas plus simple de stocker des objects déjà chiffrés dans s3, afin de ne pas dépendre de la technologie sous-jacente ?
Ou bien tu penses plus à quelque chose du style "server side encryption" (je ne me souvient plus du nom exacte) de s3 ? À mon sens, pour le commanditaire ce n'est qu'une façon de cocher une case dans un cahier des charges, ou pour aws (d'une manière plus positive :p), une façon de te faire payer plus cher quelque chose qui a un coup marginal. Si c'est vraiment ça que tu veux, même si c'est sans doute vrai que techniquement il s'agit simplement d'envoyer une clef de chiffrement à l'object store, amha ça serait toujours un peu bancale car il manquera l'intégration du gestionnaire d'accès et de secrets qu'offre une plateforme "nuage". (pour le côté positif: la possibilité d'auditer la qualité de l'implémentation, ce que ne permet pas un provider cloud commercial... d'où mon sentiment qu'il s'agit dans la majorité des cas d'un besoin "cocher une case": si tu veux être sûr, tu chiffres avant de stocker dans s3)
[^] # Re: chiffrement
Posté par benja . En réponse au journal CFS : Système de fichiers sur stockage objet. Évalué à 1. Dernière modification le 09 novembre 2021 à 22:09.
D'un autre côté...
...est-ce qu'il n'est pas plus simple de mettre le chiffrement au niveau fs ou stockage (luks) pour avoir du même coup le chiffrement de toutes les méta-données (par là j'entends les logs, la base relationnel, etc.)
...est-ce qu'il n'est pas plus simple de stocker des objects déjà chiffrés dans s3, afin de ne pas dépendre de la technologie sous-jacente ?
Ou bien tu penses plus à quelque chose du style "server side encryption" (je ne me souvient plus du nom exacte) de s3 ? À mon sens, pour le commanditaire ce n'est qu'une façon de cocher une case dans un cahier des charges, ou pour aws (d'une manière plus positive :p), une façon de te faire payer plus cher quelque chose qui a un coup marginal. Si c'est vraiment ça que tu veux, même si c'est sans doute vrai que techniquement il s'agit simplement d'envoyer une clef de chiffrement à l'object store, amha ça serait toujours un peu bancale car il manquera l'intégration du gestionnaire d'accès et de secrets qu'offre une plateforme "nuage". (pour le côté positif: la possibilité d'auditer la qualité de l'implémentation, ce que ne permet pas un provider cloud commercial... d'où mon sentiment qu'il s'agit dans la majorité des cas d'un besoin "cocher une case": si tu veux être sûr, tu chiffres avant de stocker dans s3)