TRUSTED PLATFORM MODULE (TPM)

Le module TPM (Trusted Platform Module) présent sur certains firewalls SNS offre un stockage matériel renforçant le niveau de sécurité des certificats stockés sur le firewall SNS.

Si le firewall SNS dispose d'un module TPM, un indicateur "TPM" est présent dans le widget Indicateurs de santé du Tableau de bord. Retrouvez tous les modèles disposant d'un module TPM sur la page Nos firewalls Stormshield Network Security du site de Stormshield.

Pour utiliser le module TPM et protéger des clés privées de certificats, celui-ci doit être au préalable initialisé.

Initialiser le module TPM

Pour initialiser le module TPM, l'administrateur doit posséder le droit Accès au TPM (E). Seul le compte admin peut attribuer ce droit dans le module Configuration > Système > Administrateurs, onglet Administrateurs, bouton Passer en vue avancée.

Pour initialiser le module TPM :

1. Rendez-vous dans le module Configuration > Objets > Certificats et PKI.

2. Cliquez sur Init. TPM.

3. Si la fonctionnalité Secure Boot n'est pas activée, un avertissement s'affiche. Il est recommandé d'activer la fonctionnalité Secure Boot avant d'initialiser le module TPM, mais vous pouvez le faire plus tard. Notez toutefois que la protection assurée par le module TPM sera incomplète tant que la fonctionnalité Secure Boot ne sera pas activée.

4. Dans la fenêtre Définir le mot de passe, définissez le mot de passe d'administration du module TPM :

   • Il doit respecter la politique de mots de passe définie sur le firewall SNS,
   • Il est recommandé de le générer aléatoirement avec une longueur d'au moins 64 caractères.
   • Il doit être conservé dans un espace sécurisé et sauvegardé. En cas de perte, il n'est pas possible de le réinitialiser et Stormshield n'est pas en mesure de le retrouver.

5. Sélectionnez les fonctionnalités pour lesquelles vous souhaitez protéger les clés privées de certificats utilisés. Les fonctionnalités qui n'utilisent pas de certificat dans leur configuration ne peuvent pas être sélectionnées. Vous pouvez également laisser toutes les cases décochées et protéger les clés privées de certificats du firewall SNS plus tard.

6. Cliquez sur Terminer.

Le module TPM est initialisé et le mécanisme de dérivation de la clé symétrique est utilisé pour générer la clé symétrique, que le firewall SNS soit membre d'un cluster en haute disponibilité ou non. Si le firewall SNS est membre d'un cluster en haute disponibilité, le module TPM du firewall passif est initialisé automatiquement.

Pour plus d'informations sur l'initialisation du module TPM, reportez-vous à la note technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.

Utiliser des certificats dont la clé privée est protégée par le module TPM

Le mécanisme de sécurisation par le module TPM s'applique aux certificats dans les cas ci-dessous. Reportez-vous aux sections de ces modules pour utiliser dans la configuration du firewall SNS des certificats dont la clé privée est protégée.

Dans ces modules, l'icône indique les certificats dont la clé privée est protégée par le module TPM.

• VPN IPsec (module Configuration > VPN > VPN IPsec),
• VPN SSL (module Configuration > VPN > VPN SSL),
• Déchiffrement SSL/TLS pour l'interface Web d'administration et le portail captif (module Configuration > Utilisateurs > Authentification),
• Communications avec le serveur SMC (module Configuration > Système > Management Center),
• Envois de logs vers un serveur syslog (module Configuration > Notifications > Traces - Syslog - IPFIX),
• LDAP interne (module Configuration > Utilisateurs > Configuration des annuaires).

Pour plus d'informations sur la protection par le module TPM des clés privées de certificats, reportez-vous à la note technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.

Précisions sur les cas d'utilisation avec le module TPM

• Des spécificités existent concernant l'état de chiffrement des clés privées protégées incluses dans le fichier de sauvegarde de configuration (module Configuration > Maintenance > Sauvegarde) :
  • Pour une sauvegarde manuelle, les clés privées protégées sont incluses déchiffrées car le mot de passe du TPM doit être renseigné,
  • Pour une sauvegarde automatique, les clés privées sont incluses, mais restent chiffrées.

• Une sauvegarde contenant des clés privées chiffrées ne peut être restaurée que sur le firewall d'origine. Sur un autre firewall SNS, les clés privées chiffrées ne peuvent pas être déchiffrées car la clé symétrique est supposément différente.

• Lors d'une configuration initiale d'un firewall SNS par clé USB, les opérations initTPM et p12import permettent d’interagir avec le module TPM.

• L'état du module TPM peut être pris en compte dans le calcul du facteur de qualité de la haute disponibilité (HA).

Pour plus d'informations sur ces cas d'utilisation, reportez-vous à la section Précisions sur les cas d'utilisation une fois le module TPM initialisé de la note technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.