Le centre d'architecture fournit des ressources de contenu sur une grande variété de sujets de sécurité et de gestion de l'authentification et des accès (IAM).
Premiers pas
Si vous débutez avec Google Cloud ou si vous débutez dans la conception de solutions de sécurité et d'IAM sur Google Cloud, commencez par les ressources suivantes:
- Plan de base de l'entreprise
- Présentation de la gestion de l'authentification et des accès
- Conception de zone de destination dans Google Cloud
Ressources concernant la sécurité et IAM dans le centre d'architecture
Vous pouvez filtrer la liste suivante de ressources de sécurité et IAM en saisissant un nom de produit ou une expression figurant dans le titre ou la description de la ressource.
Authentifier des utilisateurs auprès de Firestore avec Identity Platform et les identités Google Configurez le contrôle des accès basé sur l'utilisateur à une base de données Firestore en utilisant Identity Platform comme plate-forme de gestion de l'authentification et des accès utilisateurs. Produits utilisés : Firebase, Firestore, règles de sécurité Firestore, Identity Platform |
Automatiser la détection de logiciels malveillants pour des fichiers importés dans Cloud Storage Ce tutoriel explique comment créer un pipeline basé sur des événements permettant d'automatiser la détection de code malveillant dans des fichiers. Produits utilisés: Cloud Logging, Cloud Run, Cloud Storage, Eventarc |
Bonnes pratiques pour limiter les risques de compromission de jetons OAuth pour Google Cloud CLI Ce document explique comment atténuer l'impact d'un pirate informatique qui parviendrait à compromettre les jetons OAuth utilisés par gcloud CLI. Produits utilisés: Google Cloud CLI |
Bonnes pratiques pour exploiter des conteneurs Cet article décrit un ensemble de bonnes pratiques pour simplifier l'utilisation des conteneurs. Ces pratiques couvrent un large éventail de sujets, de la sécurité à la surveillance, en passant par la journalisation. Leur objectif est de faciliter l’exécution des applications dans Google Kubernetes Engine… Produits utilisés: Cloud Monitoring, Cloud Storage, Google Kubernetes Engine (GKE) |
Bonnes pratiques pour se protéger contre les attaques de minage de cryptomonnaie Le minage de cryptomonnaie (également appelé minage de bitcoin) est le processus permettant de créer des cryptomonnaies et de vérifier les transactions. Les attaques de minage de cryptomonnaie se produisent lorsque des pirates informatiques accédant à votre environnement peuvent également exploiter vos ressources pour... Produits utilisés: Cloud Key Management Service, Compute Engine, Google Cloud Armor, Identity and Access Management |
Bonnes pratiques pour sécuriser vos applications et vos API avec Apigee Décrit les bonnes pratiques qui peuvent vous aider à sécuriser vos applications et API à l'aide de la gestion des API Apigee, de Google Cloud Armor, de reCAPTCHA Enterprise et de Cloud CDN. Produits utilisés: Cloud Armor, Cloud CDN, Waap |
Créer et déployer des modèles d'IA générative et de machine learning dans une entreprise Décrit le plan d'IA générative et de machine learning (ML), qui déploie un pipeline pour créer des modèles d'IA. |
Créer des architectures hybrides et multicloud à l'aide de Google Cloud Fournit des conseils pratiques pour planifier et concevoir l'architecture de vos environnements hybrides et multicloud à l'aide de Google Cloud. Produits utilisés : Anthos, Cloud Load Balancing, Compute Engine, Google Kubernetes Engine (GKE) |
Créer une connexion Internet pour les VM privées Ce document décrit les options permettant d'établir des connexions Internet à l'aide de ressources Compute Engine disposant d'adresses IP privées. Produits utilisés : Cloud Load Balancing, Cloud NAT, Compute Engine et Identity-Aware Proxy |
Dispositifs réseau centralisés sur Google Cloud Ce document est destiné aux administrateurs réseau, aux architectes de solutions et aux professionnels des opérations qui exécutent des dispositifs réseau centralisés sur Google Cloud. Vous devez connaître Compute Engine et la mise en réseau via cloud privé virtuel (VPC) dans Google Cloud. Produits utilisés : Cloud Load Balancing, Compute Engine |
Configurer des réseaux pour FedRAMP et DoD dans Google Cloud Fournit des conseils de configuration pour vous aider à respecter les exigences de conception pour le niveau d'impact élevé du FedRAMP et les niveaux d'impact IL2, IL4 et IL5 du DoD lorsque vous déployez des règles de mise en réseau Google Cloud. |
Configurer la protection des données SaaS pour les données Google Workspace avec Spin.AI Comment configurer SpinOne – Protection complète des données SaaS avec Cloud Storage. |
Contrôles permettant de restreindre l'accès à des API individuellement approuvées De nombreuses organisations doivent répondre à des exigences de conformité pour limiter l'accès réseau à une liste d'API explicitement approuvée, en fonction d'exigences internes ou de l'adoption de Assured Workloads. Sur site, cette exigence est souvent traitée par les proxys. Produits utilisés : charges de travail Assured Workloads |
Gestion des données avec Cohesity Helios et Google Cloud Fonctionnement de Cohesity avec Google Cloud Storage Cohesity est un système de stockage secondaire hyperconvergé permettant de consolider la sauvegarde, les tests/le développement, les services de fichiers et les ensembles de données d'analyse sur une plate-forme de données évolutive. Produits utilisés : Cloud Storage |
Explique comment utiliser la protection des données sensibles pour créer un pipeline de transformation de données automatisé afin d'anonymiser des données sensibles telles que les informations permettant d'identifier personnellement l'utilisateur. Produits utilisés: BigQuery, Cloud Pub/Sub, Cloud Storage, Dataflow, Identity and Access Management, Sensitive Data Protection |
Supprimer l'identification des images médicales à l'aide de l'API Cloud Healthcare Explique comment les chercheurs, les data scientists, les équipes informatiques ou les organisations du secteur de la santé et des sciences de la vie peuvent utiliser l'API Cloud Healthcare pour supprimer des informations personnelles (PII) et des données de santé protégées (PHI). Produits utilisés : AI Platform, BigQuery, Cloud Storage, Dataflow, Datalab |
Choisir une conception réseau pour votre zone de destination Google Cloud. Ce document décrit quatre conceptions de réseau courantes pour les zones de destination et vous aide à choisir l'option qui répond le mieux à vos besoins. Produits utilisés: VPC Service Controls, cloud privé virtuel |
Déployer une architecture sécurisée sans serveur à l'aide de Cloud Functions Fournit des conseils pour protéger les applications sans serveur qui utilisent Cloud Functions (2nd gen) en superposant des contrôles supplémentaires sur votre infrastructure existante. Produits utilisés: Cloud Functions |
Déployer une architecture sécurisée sans serveur à l'aide de Cloud Run Fournit des conseils pour protéger les applications sans serveur qui utilisent Cloud Run en superposant des contrôles supplémentaires sur votre infrastructure existante. Produits utilisés : Cloud Run |
Déployer une plate-forme de développeur d'entreprise sur Google Cloud Décrit le plan d'application d'entreprise, qui déploie une plate-forme de développeur interne fournissant le développement et la livraison de logiciels gérés. |
Déployer des fonctionnalités de surveillance et de télémétrie réseau dans Google Cloud La télémétrie réseau collecte les données de trafic réseau provenant des appareils de votre réseau afin que les données puissent être analysées. La télémétrie réseau permet aux équipes chargées des opérations de sécurité de détecter les menaces basées sur le réseau et de traquer les pirates informatiques de haut niveau, ce qui est essentiel pour... Produits utilisés : Compute Engine, Google Kubernetes Engine (GKE), Logging, Mise en miroir de paquets, VPC, Cloud privé virtuel |
Concevoir des pipelines de déploiement sécurisés Décrit les bonnes pratiques à suivre pour concevoir des pipelines de déploiement sécurisés en fonction de vos exigences en termes de confidentialité, d'intégrité et de disponibilité. Produits utilisés : App Engine, Cloud Run, Google Kubernetes Engine (GKE) |
Concevoir des réseaux pour migrer des charges de travail d'entreprise : Approches architecturales Cette documentation vous présente une série de documents décrivant les architectures de mise en réseau et de sécurité destinées aux entreprises qui migrent les charges de travail des centres de données vers Google Cloud. Ces architectures mettent l'accent sur la connectivité avancée, les principes de sécurité "zéro confiance" et... Produits utilisés : Anthos Service Mesh, Cloud CDN, Cloud DNS, Cloud Interconnect, Cloud Intrusion Detection System (Cloud IDS), Cloud Load Balancing, Cloud NAT, Cloud VPN, Google Cloud Armor, Identity-Aware Proxy, Network Connectivity Center, Traffic Director, VPC Service Controls, cloud privé virtuel |
Guide de planification de reprise après sinistre Première partie d'une série qui traite de la reprise après sinistre (DR) dans Google Cloud. Il décrit le processus de planification de reprise après sinistre et vous explique comment établir et mettre en œuvre un plan de reprise. Produits utilisés : Cloud Key Management Service, Cloud Storage, Spanner |
Cette série présente une vue avisée des bonnes pratiques de sécurité dans Google Cloud, organisée pour permettre aux utilisateurs de les intégrer à leurs charges de travail sur Google Cloud. |
Décrit l'utilisation de la protection des données sensibles pour limiter le risque d'exposition des données sensibles stockées dans les bases de données Google Cloud aux utilisateurs, tout en leur permettant d'interroger des données pertinentes. Produits utilisés: Cloud Audit Logs, Cloud Key Management Service, Sensitive Data Protection |
Architecture de FortiGate dans Google Cloud Décrit les concepts généraux liés au déploiement d'un pare-feu nouvelle génération FortiGate (NGFW) dans Google Cloud. Produits utilisés: Cloud Load Balancing, Cloud NAT, Compute Engine, cloud privé virtuel |
Guide de mise en œuvre du programme FedRAMP sur Google Cloud Ce guide est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés responsables de la mise en œuvre du programme FedRAMP (Federal Risk and Authorization Management Program) et de la conformité avec celui-ci sur Google Cloud. Ce guide vous aide à... Produits utilisés: Cloud Identity, Cloud Logging, Cloud Monitoring, Cloud VPN, Google Cloud Armor, Google Workspace, Identity and Access Management, Identity-Aware Proxy, Security Command Center |
Modèles d'architecture hybride et multicloud Présente les modèles courants d'architecture hybride et multicloud et décrit les scénarios auxquels ces modèles sont les plus adaptés. Produits utilisés : Cloud DNS, Cloud Interconnect, Cloud Pub/Sub, Cloud Run, Cloud SQL, Cloud Storage, Google Cloud Armor, Google Kubernetes Engine (GKE), Looker |
Identifier et hiérarchiser les risques de sécurité avec Wiz Security Graph et Google Cloud Décrit comment identifier et hiérarchiser les risques de sécurité dans vos charges de travail cloud avec Wiz Security Graph et Google Cloud. Produits utilisés : Artifact Registry, Cloud Audit Logging, Cloud SQL, Cloud Storage, Compute Engine, Google Kubernetes Engine (GKE), Identity Access Management, Security Command Center |
Implémenter la conception du réseau pour votre zone de destination Google Cloud. Ce document décrit la procédure à suivre et fournit des conseils pour mettre en œuvre la conception de réseau choisie de votre zone de destination. Produits utilisés: cloud privé virtuel |
Mise en œuvre de l'autorisation binaire à l'aide de Cloud Build et GKE Découvrez comment utiliser l'autorisation binaire pour Google Kubernetes Engine (GKE). L'autorisation binaire consiste à créer des attestations sur des images de conteneurs afin de vérifier que certains critères sont remplis avant de pouvoir déployer ces images sur GKE. Produits utilisés : Artifact Registry, autorisation binaire, Cloud Build, Cloud Key Management Service, Cloud Source Repositories, Google Kubernetes Engine (GKE) |
Importer des données depuis un réseau externe dans un entrepôt de données BigQuery sécurisé Décrit une architecture que vous pouvez utiliser pour sécuriser un entrepôt de données dans un environnement de production et fournit les bonnes pratiques pour l'importation des données dans BigQuery à partir d'un réseau externe, tel qu'un environnement sur site. Produits utilisés : BigQuery |
Importer des données depuis Google Cloud dans un entrepôt de données BigQuery sécurisé Décrit une architecture que vous pouvez utiliser pour sécuriser un entrepôt de données dans un environnement de production, et fournit les bonnes pratiques pour la gouvernance des données d'un entrepôt de données dans Google Cloud. Produits utilisés: BigQuery, Cloud Key Management Service, Dataflow, Sensitive Data Protection |
Ingérer des données cliniques et opérationnelles avec Cloud Data Fusion Explique aux chercheurs, aux data scientists et aux équipes informatiques comment Cloud Data Fusion permet de déverrouiller des données en les ingérant, en les modifiant et en les stockant dans BigQuery, un entrepôt de données agrégées sur Google Cloud. Produits utilisés : BigQuery, Cloud Data Fusion, Cloud Storage |
Conception de zone de destination dans Google Cloud Cette série explique comment concevoir et créer une zone de destination dans Google Cloud, et vous guide tout au long de la prise de décisions générales sur l'intégration des identités, la hiérarchie des ressources, la conception du réseau et la sécurité. |
Limiter le champ d'application de la conformité pour les environnements PCI dans Google Cloud Décrit les bonnes pratiques concernant la conception d'un environnement cloud conforme aux normes PCI (Payment Card Industry) Security Standards Council. Produits utilisés: App Engine, BigQuery, Cloud Key Management Service, Cloud Logging, Cloud Monitoring, Cloud SQL, Identity and Access Management, Sensitive Data Protection |
Gérer l'accès privilégié à des projets avec le juste-à-temps Ce document explique comment utiliser un outil Open Source pour implémenter un accès privilégié aux ressources Google Cloud avec le juste-à-temps. Produits utilisés : App Engine, Identity-Aware Proxy |
Vous aide à planifier, concevoir et mettre en œuvre le processus de migration de vos charges de travail d'applications et d'infrastructure vers Google Cloud, y compris les charges de travail de calcul, de base de données et de stockage. Produits utilisés: App Engine, Cloud Build, Cloud Data Fusion, Cloud Deployment Manager, Cloud Functions, Cloud Run, Cloud Storage, Container Registry, Data Catalog, Dataflow, appairage direct, Google Kubernetes Engine (GKE), Transfer Appliance |
Atténuer les attaques de rançongiciels à l'aide de Google Cloud Un code créé par un tiers pour infiltrer vos systèmes afin de pirater, chiffrer et voler les données est appelé rançongiciel. Pour vous aider à atténuer les attaques de rançongiciels, Google Cloud vous fournit des contrôles pour identifier, protéger, détecter,... Produits utilisés: Chronicle, Google Workspace |
Présentation de la gestion de l'authentification et des accès Découvrez la pratique générale de la gestion de l'authentification et des accès (généralement appelée IAM), ainsi que les personnes qui y sont soumises, y compris les identités d'entreprise, les identités client et les identités de service. Produits utilisés: Cloud Identity, Identity and Access Management |
Top 10 des options d'atténuation de l'OWASP 2021 sur Google Cloud Ce document vous aide à identifier les produits Google Cloud et les stratégies d'atténuation qui peuvent vous aider à vous protéger contre les attaques courantes au niveau des applications, décrites dans le Top 10 de l'OWASP. Produits utilisés: Google Cloud Armor, Security Command Center |
Conformité avec la norme de sécurité des données PCI Cette page explique comment mettre en œuvre la norme PCI DSS (Payment Card Industry Data Security Standard) pour votre entreprise sur Google Cloud. Produits utilisés: App Engine, BigQuery, Cloud Functions, Cloud Key Management Service, Cloud Logging, Cloud Monitoring, Cloud Storage, Compute Engine, Google Kubernetes Engine (GKE), Sensitive Data Protection, VPC Service Controls |
Conformité avec la norme PCI DSS sur GKE Ce guide aborde les questions spécifiques aux applications Google Kubernetes Engine (GKE) lorsque vous mettez en œuvre des responsabilités client conformes aux exigences relatives à la norme PCI DSS (Payment Card Industry Data Security Standard). Produits utilisés: Google Cloud Armor, Google Kubernetes Engine (GKE), Sensitive Data Protection |
Effectuer une récupération PITR d'une base de données PostgreSQL sur Compute Engine Créez une base de données de démonstration et exécutez une charge de travail d'application. Ensuite, vous configurerez les procédures d'archivage et de sauvegarde. Puis vous apprendrez à valider les procédures de sauvegarde, d'archivage et de récupération. Produits utilisés : Cloud Storage, Compute Engine |
Scénarios d'exportation Cloud Logging : exigences de conformité Ce scénario montre comment exporter des journaux de Cloud Logging vers Cloud Storage de façon à répondre aux exigences de conformité de votre organisation. Produits utilisés : Cloud Audit Logs, Cloud Logging, Cloud Storage |
Communication sécurisée et chiffrée entre les clusters Anthos à l'aide d'Anthos Service√Mesh Le présent document explique aux ingénieurs réseau, plate-forme et de sécurité qui administrent les clusters Kubernetes comment gérer la communication externe entre clusters à l'aide de passerelles d'entrées et de sorties Anthos Service Mesh. Produits utilisés: Anthos Service Mesh, mise en réseau cloud, Compute Engine, Container Registry, Google Kubernetes Engine (GKE) |
Sécuriser des réseaux cloud privés virtuels avec le NGFW Palo Alto VM-Series Décrit les concepts de mise en réseau que vous devez comprendre pour déployer le pare-feu nouvelle génération Palo Alto Networks VM-Series dans Google Cloud. Produits utilisés : Cloud Storage |
Plan de sécurité : PCI sur GKE Le plan PCI sur GKE contient un ensemble de configurations et de scripts Terraform qui illustrent comment amorcer la création d'un environnement PCI dans Google Cloud. Au cœur de ce plan se trouve l'application Online Boutique, dans laquelle les utilisateurs peuvent parcourir les articles, les ajouter... Produits utilisés : Google Kubernetes Engine (GKE) |
Analyse des journaux de sécurité dans Google Cloud Découvrez comment collecter, exporter et analyser des journaux dans Google Cloud pour vous aider à auditer l'utilisation et à détecter les menaces sur vos données et charges de travail. Utilisez les requêtes de détection des menaces incluses pour BigQuery ou Chronicle, ou utilisez votre propre solution SIEM. Produits utilisés : BigQuery, Cloud Logging, Compute Engine, Looker Studio |
Configurer une solution financière intégrée à l'aide de Google Cloud et CloudEntity Décrit les options d'architecture permettant à vos clients de bénéficier d'une solution financière intégrée transparente et sécurisée. Produits utilisés : Cloud Run, Google Kubernetes Engine (GKE), Identity Platform |
Configurer un proxy Pub/Sub pour les clients mobiles sur GKE Explique comment publier des messages provenant d'applications mobiles ou côté client dans Pub/Sub à l'aide d'un proxy qui gère la logique d'authentification et d'autorisation au lieu d'identifiants côté client. Produits utilisés : Cloud Build, Cloud Endpoints, Cloud Pub/Sub, Container Registry, Google Kubernetes Engine (GKE), Identity and Access Management |
Tokeniser des données de titulaire de carte sensibles conformément à la norme PCI DSS Explique comment configurer un service de tokenisation de carte de paiement à accès contrôlé dans Cloud Functions. Produits utilisés : Cloud Key Management Service, Firestore, Identity and Access Management |
Ce tutoriel explique comment renforcer la sécurité des transferts de données d'Amazon Simple Storage Service (Amazon S3) vers Cloud Storage en utilisant le service de transfert de stockage avec un périmètre VPC Service Controls. Produits utilisés: Access Context Manager, Cloud Storage, service de transfert de stockage, VPC Service Controls |
Cas d'utilisation pour résoudre les problèmes d'accès sur Google Cloud Ce document explique comment utiliser les outils Google Cloud pour résoudre les problèmes d'accès aux ressources Google Cloud. Il n'explique pas comment résoudre les problèmes d'accès des utilisateurs finaux à vos applications. Produits utilisés: Identity and Access Management |
Fournit une architecture utilisant une interface mondiale qui intègre les bonnes pratiques Google Cloud pour vous aider à faire évoluer, sécuriser et accélérer la diffusion de vos applications Web. |
Découvrez comment effectuer des sauvegardes sur une instance SQL Server Compute Engine, y compris comment gérer ces sauvegardes et les stocker dans Cloud Storage, et comment restaurer une base de données à un moment précis. Produits utilisés : Cloud Storage, Compute Engine |