Chiffrement côté client sur Proxmox Backup Server : qui détient vraiment vos clés
Proxmox Backup Server chiffre côté client, mais la vraie question est de savoir qui peut déchiffrer. Le modèle zéro-accès, la perte de clé, la rotation, et chiffrement contre immutabilité.
La plupart des équipes se posent la mauvaise question sur le chiffrement des sauvegardes. Elles demandent « mes sauvegardes sont-elles chiffrées », cochent la case, et passent à autre chose. La question qui décide réellement si le chiffrement vous protège est différente : qui peut les déchiffrer. Sur Proxmox Backup Server la réponse est inhabituellement nette, et elle a des conséquences qui surprennent le jour où il faut restaurer.
Ce n’est pas un tutoriel. Pour la configuration pas à pas, notre documentation couvre l’activation du chiffrement côté client depuis Proxmox VE. Ici on parle du modèle de clés qui se cache derrière : ce qu’il vous apporte, ce qu’il exige de vous, et où il s’arrête.
Côté client, le serveur ne voit jamais le clair
Proxmox Backup Server chiffre côté client. Chaque chunk d’une VM est chiffré sur votre hôte Proxmox VE en AES-256-GCM, et seul le chiffré quitte votre réseau. Le datastore PBS stocke des blocs qu’il ne peut pas lire. La déduplication et la vérification continuent de fonctionner, car elles opèrent sur les chunks chiffrés et leurs hachages authentifiés, pas sur le clair.
Concrètement, l’opérateur du serveur de sauvegarde est en dehors de votre périmètre de confiance. Celui qui exploite l’hôte PBS, que ce soit votre propre équipe stockage ou un prestataire managé comme Cloud-PBS, ne détient que des blocs illisibles. Aucun panneau d’administration, aucun outil de support, aucune réquisition judiciaire ne retransforme ces blocs en vos données, parce que la clé qui le ferait n’a jamais atteint le serveur.
Le modèle zéro-accès, et sa règle intransigeante
Cette propriété mérite d’être énoncée clairement car c’est tout l’enjeu : avec le chiffrement côté client activé, personne d’autre que vous ne peut lire vos sauvegardes. Ni l’administrateur du datastore, ni l’hébergeur, ni un attaquant qui compromet l’hôte PBS, ni une injonction adressée au prestataire.
La règle intransigeante qui l’accompagne : il n’existe aucun chemin de récupération pour une clé perdue. Pas de clé maître, pas de contournement fournisseur, pas de lien de réinitialisation. Ce n’est pas une limitation que Cloud-PBS pourrait lever s’il le voulait. L’absence de porte dérobée est précisément ce qui rend la garantie réelle. Un fournisseur capable de récupérer votre clé quand vous la perdez est un fournisseur capable de la remettre à quelqu’un d’autre.
La clé de chiffrement devient donc l’objet le plus précieux de votre chaîne de sauvegarde. Un rançongiciel qui chiffre votre production et votre PBS local ne peut toujours pas toucher une copie chiffrée hors site. Mais vous non plus, si la clé ne vivait que sur la machine qui a été chiffrée.
Traitez la clé comme si c’était la sauvegarde
La clé fait 32 octets. La perdre est trivial et définitif, elle mérite donc le même raisonnement 3-2-1 que vous appliquez aux données : plus d’une copie, dans plus d’un endroit, dont au moins une hors ligne et hors de la machine qui l’a produite.
Concrètement, quand Proxmox VE génère la clé, il propose trois façons de la conserver, non exclusives :
- Un gestionnaire de mots de passe. Le plus simple et, pour la plupart des équipes, le bon défaut. La clé suit votre discipline de gestion des secrets existante et survit à la perte de n’importe quel hôte.
- Une copie hors ligne sur support amovible, rangée dans un lieu physiquement distinct. C’est votre défense contre une compromission des systèmes qui détiennent la copie en ligne.
- Une paperkey imprimée. La plus robuste face au désastre numérique et la plus pénible à utiliser sous pression. Bonne comme copie de coffre en dernier recours, mauvaise comme unique copie.
Le scénario à conjurer est celui où la clé et les données partagent le même sort. Si la clé vit sur l’hôte PVE et que cet hôte est justement ce que vous restaurez à nu, vous vous êtes chiffré hors de vos propres sauvegardes. Gardez la clé là où le désastre ne peut pas l’atteindre. Les étapes pour réinjecter une clé sur un hôte reconstruit sont dans restaurer votre clé de chiffrement.
Rotation et portée
Le chiffrement s’active par stockage, ce qui permet d’utiliser des clés différentes pour des datastores différents, ou de laisser un datastore peu sensible non chiffré pour le petit gain de performance et de simplicité. Une sauvegarde poussée avant l’activation reste sous sa forme d’origine ; activer le chiffrement ne chiffre pas rétroactivement l’existant.
La rotation est plus grossière qu’avec, disons, des certificats TLS. Comme un snapshot n’est déchiffrable qu’avec la clé sous laquelle il a été écrit, passer à une nouvelle clé ne rechiffre pas les anciens snapshots. En pratique, vous tournez en démarrant une nouvelle clé pour la suite et en conservant l’ancienne tant que des snapshots écrits sous elle restent dans votre fenêtre de rétention. Ne supprimez pas une clé retirée avant que la dernière sauvegarde qui l’a utilisée n’ait expiré.
Le chiffrement n’est pas l’immutabilité
La confusion la plus fréquente que nous voyons consiste à prendre le chiffrement pour une protection anti-rançongiciel. Ce n’en est pas une, à lui seul. Le chiffrement contrôle qui peut lire une sauvegarde. Il ne fait rien pour empêcher quelqu’un ayant accès au datastore de la supprimer. Un rançongiciel veut rarement lire vos sauvegardes ; il veut les détruire pour vous forcer à payer.
Le contrôle qui empêche la suppression, c’est l’immutabilité : une copie en append-only ou verrouillée par object-lock, impossible à effacer avant l’expiration d’une rétention, c’est le « 1 » d’une stratégie 3-2-1 sérieuse. Chiffrement et immutabilité sont complémentaires, pas interchangeables. Le chiffrement empêche le voleur de lire ; l’immutabilité empêche le vandale d’effacer. Une stratégie de sauvegarde digne de ce nom a les deux.
Où se place Cloud-PBS
Cloud-PBS est un serveur de sauvegarde cloud managé, et le modèle de chiffrement est précisément ce qui permet de confier ses données à un prestataire managé. Votre clé est générée sur votre hôte Proxmox VE et ne transite jamais par notre infrastructure. Nous stockons du chiffré dans la région que vous choisissez, nous exécutons la vérification et le garbage collection sur des blocs que nous ne pouvons pas lire, et nous serions incapables de produire votre clair en quelque circonstance que ce soit. Ce n’est pas une politique que nous promettons de suivre. C’est une propriété de l’endroit où vit la clé.
Pour l’activer, le guide pas à pas prend environ deux minutes. La partie qui mérite votre attention n’est pas l’interrupteur. C’est de décider, avant de l’activer, exactement où vivra votre clé pour qu’un mauvais jour ne vous en sépare jamais.
Prêt à essayer Cloud-PBS ?
Démarrez votre essai gratuit de 7 jours dès aujourd'hui.
Démarrer l'essai gratuit