Chiffrement de champ Enterprise
Chiffrement de champ Enterprise utilise (Key Management FrameworkKMF) pour vous permettre de personnaliser et de gérer le mode de chiffrement et de déchiffrement des champs et des pièces jointes sur votre instance. Un abonnement est requis pour utiliser Chiffrement de champ Enterprise.
Chiffrement de champ Enterprise est basé sur Chiffrement de champ et utilise le et sa prise en charge complète des fonctions de gestion des clés. Chiffrement de champ Enterprise assure la protection et la gestion du cycle de vie des clés pour le chiffrement de champ au niveau de l’applicationKey Management Framework. Toutes les clés sont protégées par une hiérarchie d’encapsulation de clés finalement ancrée dans les modules de sécurité matériels (HSM) FIPS (Federal Information Processing Standards) 140-2-L3.
Chiffrement de champ Enterprise vous donne la possibilité de gérer le mode de chiffrement et de déchiffrement des champs pris en charge conformément aux pratiques de la norme NIST 800-57 . Il utilise également la version la plus récente du chiffrement au niveau du champ, y compris l’intégration pour une protection et une gestion appropriées des clés.
Plus précisément, Chiffrement de champ Enterprise utilise les KMF modules de chiffrement, ce qui vous permet de mieux contrôler le chiffrement côté serveur. KMF Vérifie une protection adéquate des clés de chiffrement des données à l’aide de la hiérarchie de clés et du chiffrement d’enveloppe. Votre instance chiffre les données via des modules de chiffrement que vous configurez. Vous pouvez créer une politique d’accès pour chaque module, puis configurer des spécifications cryptographiques et des politiques d’accès, et contrôler le contrôle de gestion du cycle de vie des clés.
Chiffrement de champ Enterprise prend en charge les politiques d’accès au module basées sur :
- Champ d'application
- Rôle
- Script
- Resource Exchange
- Utilisateur système
Termes de chiffrement
| Terme | Description |
|---|---|
| Prise en charge de la gestion des clés Le cadre de gestion des clés (KMF) est fondamental Chiffrement de champ Enterprise . Bénéficiez des options suivantes :
Consultez Référence du cadre de travail de gestion des clés pour en savoir plus. |
|
| Prise en charge des clés fournies par le client L’un des plus grands avantages Chiffrement de champ Enterprise est que vous pouvez utiliser vos propres clés pour le cryptage. Les administrateurs ont le choix d’utiliser ServiceNow les clés fournies ou vos propres clés fournies par le client (CSK) pour le chiffrement sur le Now Platform®. Vous pouvez également gérer le cycle de vie des clés et décider quand révoquer, faire pivoter et désactiver les clés. Une fois que vous avez activé les clés fournies par le client et créé un module cryptographique, vous téléchargez un jeton et une clé éphémère publique. Vous utilisez le jeton et la clé publique pour envelopper votre clé, puis la charger dans l’instance. Pour utiliser les clés fournies par le client, reportez-vous aux sections Configurer les paramètres de chiffrement de champ pour sélectionner le type de clé et Utilisation des clés fournies par le client avec Chiffrement de champ Enterprise. |
|
| Prise en charge du chiffrement de champ et du chiffrement des pièces jointes Le chiffrement de champ et le chiffrement des pièces jointes utilisent tous deux des modules cryptographiques et des stratégies d’accès via des configurations de champs chiffrés. Le formulaire Configuration des champs chiffrés est utilisé pour choisir un type de chiffrement de colonne ou de pièce jointe . Consultez pour Définir des configurations de champs chiffrés plus d’informations et les types de champs pris en charge. |
|
| Prise en charge du chiffrement non déterministe Chiffrement de champ Enterprise prend en charge le chiffrement non déterministe pour une sécurité renforcée. Si le système chiffre les mêmes données plus d’une fois, les textes chiffrés sont différents à chaque fois. Le chiffrement non déterministe est disponible avec le chiffrement AES (Advanced Encryption Standard) avec le chaînage par blocs de chiffrement (CBC). Vous pouvez activer cette fonctionnalité via l’option Préservation de l’égalité à l’étape Définition de l’algorithme de la spécification cryptographique. Créez une spécification cryptographique pour un module de chiffrement, définissez un algorithme de chiffrement et générez la clé. Consultez Créer un module cryptographique pour définir les mécanismes utilisés pour les opérations de chiffrement et pour plus d’informations sur l’activation du chiffrement non déterministe. |
|
Resource Exchange Chiffrement de champ Enterprise clés d’instance à instance de manière sécurisée à l’aide d’API cryptographiques pour assurer la confidentialité, l’intégrité KMF , l’authentification et la non-répudiation. Resource Exchange est une KMF fonctionnalité qui vous permet d’échanger des ressources entre les instances de manière sécurisée. Consultez Échange de ressources du cadre de travail de gestion des clés pour en savoir plus. |
Chiffrement de champ Enterprise prend en charge les clients sur site. Séparation en domaines ne prend pas en charge.
Prise en charge de champs chiffrés supplémentaires
La version standard de Chiffrement de champ Enterprise est limitée à cinq colonnes chiffrées. Chiffrement de champ Enterprise prend en charge un nombre illimité de colonnes chiffrées.
Informations de champ prises en charge
- Pièces jointes
- Date
- Date/Heure
- HTML
- Journal
- Entrée de journal
- Liste de journaux
- Téléphone
- Texte de chaîne
- Champ traduit
- HTML traduit
- Texte traduit
- URL
Chiffrement de pièce jointe
- Chiffrement de la pièce jointe par défaut
Les clients utilisant Chiffrement de champ Enterprise des pièces jointes sont chiffrées par défaut dans des tables dont le type de configuration de champ chiffré (EFC) actif est Attachment.
Ce chiffrement par défaut défini par la configuration EFC signifie que les administrateurs n’ont pas besoin de déclarer manuellement qu’une pièce jointe doit être chiffrée lors du chargement pour ces tables.
- Les administrateurs peuvent interdire aux utilisateurs de joindre des fichiers non chiffrés
- Pour plus de détails, voir Empêcher les utilisateurs de joindre des fichiers non chiffrés.
- Désactiver le chiffrement par défaut
Si vous ne souhaitez pas que les pièces jointes soient chiffrées par défaut en fonction de la configuration EFC, vous pouvez désactiver cette option en contactant ServiceNow l’assistance.
Pour vous désabonner de cette fonctionnalité, créez un ticket de support avec ServiceNow le support, et incluez cette déclaration dans un commentaire sur l’enregistrement du ticket :
« Je [nom du client] comprends que je demande ServiceNow à désactiver une bonne pratique de sécurité recommandée pour les pièces jointes et que [la société cliente] assume tout risque supplémentaire lié à sa configuration et à son utilisation de pièces jointes non chiffrées dans l’application ServiceNow . »
Prise en charge de l’API
Chiffrement de champ Enterprise met à jour les API setDisplayValue() et setValue() afin qu’elles puissent insérer des données chiffrées pour les champs chiffrés. Il permet également à getDisplayValue() et getValue() de renvoyer des valeurs en texte clair.
Le script suivant illustre ces changements d’API lorsque la brève description de l’incident est chiffrée :
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value
Lorsque vous utilisez getValue() pour obtenir du texte chiffré, votre script ne renvoie plus le texte chiffré. Votre script renvoie le texte en clair, en supposant que l’utilisateur a accès au module cryptographique. getValue() renvoie le texte chiffré pour les utilisateurs qui n’ont pas accès au module cryptographique.