Guide de mise en œuvre du programme FedRAMP sur Google Cloud

Ce guide est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés responsables de la mise en œuvre du programme FedRAMP (Federal Risk and Authorization Management Program) et de la conformité avec celui-ci sur Google Cloud. Ce guide devrait vous aider à comprendre comment Google assure la conformité avec le programme FedRAMP, ainsi que les outils, produits et services Google Cloud devant être configurés pour vous aider à respecter vos responsabilités dans le cadre de ce programme.

Présentation

Google Cloud assure la conformité avec le programme FedRAMP et fournit des informations spécifiques sur l'approche de la sécurité et de la protection des données dans le Livre blanc sur la sécurité de Google, ainsi que dans la Présentation de la sécurité sur l'infrastructure de Google. Bien que Google fournisse une infrastructure cloud sécurisée et conforme, il vous appartient d'évaluer votre propre conformité avec le programme FedRAMP. Vous devez également vous assurer que l'environnement et les applications que vous créez sur Google Cloud sont correctement configurés et sécurisés conformément aux exigences du programme.

Ce document offre une vue d'ensemble de la procédure d'agrément d'exploitation (ATO) FedRAMP, explique le modèle de responsabilité partagée de Google Cloud, souligne les responsabilités spécifiques dévolues au client, et suggère des solutions pour satisfaire à ces exigences et directives sur Google Cloud.

FedRAMP

Le programme FedRAMP (Federal Risk and Authorization Management Program) est un programme gouvernemental qui standardise la manière dont la loi américaine FISMA (Federal Information Security Modernization Act) s'applique au cloud computing. Il établit une approche reproductible de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des services basés sur le cloud.

En suivant les normes et les directives du programme FedRAMP, vous pouvez sécuriser les données sensibles, les données essentielles à l'activité et les données critiques dans le cloud, ce qui permet de détecter rapidement les failles de cybersécurité.

De manière générale, FedRAMP présente les objectifs suivants :

  • S'assurer que les services et systèmes cloud utilisés par les autorités administratives disposent de mesures de protection adéquates
  • Dédupliquer les tâches et réduire les coûts de gestion des risques
  • Permettre aux autorités administratives d'obtenir rapidement et à moindre coût des systèmes et des services d'information

Conformément à FedRAMP, les autorités administratives fédérales doivent s'assurer des éléments suivants :

  • S'assurer que tous les systèmes cloud qui traitent, transmettent et stockent les données de l'administration utilisent la base de référence FedRAMP pour les contrôles de sécurité
  • Utiliser le framework d'évaluation de la sécurité lors de l'attribution d'autorisations de sécurité dans le cadre de la loi FISMA
  • Appliquer les exigences du programme FedRAMP par le biais de contrats avec des fournisseurs de services cloud (CSP)

Agrément d'exploitation (ATO)

La mise en œuvre et l'exécution de la procédure d'accréditation FedRAMP se concluent par l'obtention d'un agrément d'exploitation (ATO) dans le cloud. Il existe deux formes d'agrément d'exploitation FedRAMP : l'ATO provisoire (P-ATO) et l'ATO Administration (Agency ATO).

Le P-ATO, ou agrément provisoire d'exploitation, est attribué par la commission FedRAMP JAB (Joint Authorization Board). La commission est composée des DSI des administrations américaines DHS (Sécurité intérieure), GSA (Services généraux) et DoD (Défense). Elle définit la base de référence FedRAMP pour les contrôles de sécurité et établit les critères d'accréditation FedRAMP pour les organisations d'évaluation tierces (3PAO). Les organisations et les administrations demandent que leur package de sécurité des systèmes d'information soit traité par la JAB, et que celle-ci émette ensuite un P-ATO autorisant l'utilisation de services cloud.

En ce qui concerne l'ATO Administration, l'organisation ou l'administration interne désigne les agents chargés de l'autorisation (AO), chargés d'effectuer un examen des risques liés au package de sécurité du système d'information. L'AO peut faire appel à des évaluateurs indépendants (IA) non accrédités ou à des 3PAO pour examiner le package de sécurité du système d'information. L'AO, puis l'administration ou l'organisation, autorisent ensuite l'utilisation des services cloud par le système d'information. Le package de sécurité est également envoyé au bureau de gestion du programme FedRAMP (PMO) pour examen. Ce bureau est géré par le GSA. Après l'examen, le PMO publie le package de sécurité qui pourra être utilisé par les autres administrations et organisations.

Framework d'évaluation de la sécurité

Les agents chargés de l'autorisation (AO) dans les administrations et les organisations doivent intégrer le framework d'évaluation de la sécurité (SAF) FedRAMP dans leurs processus d'autorisation interne afin de garantir le respect des exigences du programme FedRAMP pour l'utilisation des services cloud. La mise en œuvre du SAF se déroule en quatre phases :

Les quatre phases du framework d'évaluation de la sécurité.

Vous ou votre AO classifiez votre système d'information en tant que système à impact faible, modéré ou élevé, conformément aux objectifs de sécurité FIPS PUB 199 en matière de confidentialité, d'intégrité et de disponibilité des données.

En fonction de la classification FIPS du système, vous sélectionnez la base de référence FedRAMP pour les contrôles de sécurité qui correspondent au niveau de classification FIPS 199, soit faible, modéré ou élevé. Vous devez ensuite mettre en œuvre les contrôles de sécurité capturés dans la base de référence des contrôles correspondante. D'autres mises en œuvre sont acceptées, sur la base d'une justification expliquant pourquoi un contrôle ne peut pas être respecté ou implémenté.

Vous devez capturer les détails de la mise en œuvre des contrôles de sécurité dans un plan de sécurité du système (SSP). Nous vous recommandons de sélectionner le modèle SSP en fonction du niveau de conformité FedRAMP recherché : faible, modéré ou élevé.

Le SSP couvre les éléments suivants :

  • Il décrit la limite d'autorisation de sécurité.
  • Il explique comment la mise en œuvre du système répond à chaque contrôle de sécurité FedRAMP.
  • Il décrit les rôles et les responsabilités du système.
  • Il définit le comportement attendu du système.
  • Il présente l'architecture du système, ainsi que l'infrastructure sous-jacente.

Utilisez le modèle de vérification d'autorisation FedRAMP pour suivre votre progression ATO.

Consultez le processus d'autorisation FedRAMP pour les administrations pour plus de détails sur les phases de mise en œuvre.

Modèle de responsabilité Cloud

Pour créer des systèmes et des services, les technologies d'infrastructure informatique conventionnelles imposaient aux organisations et administrations d'acquérir un centre de données physique ou un espace de colocation, des serveurs physiques, des équipements de mise en réseau, des logiciels, des licences et d'autres dispositifs. Le cloud computing permet à un fournisseur de services cloud d'investir dans du matériel physique, des centres de données et la mise en réseau à l'échelle mondiale, tout en fournissant des équipements, des outils et des services virtuels aux clients.

Il existe trois modèles de cloud computing : IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et Saas (Software as a Service).

  • Dans le modèle IaaS, les fournisseurs de services cloud fournissent principalement un centre de données virtuel dans le cloud. L'infrastructure informatique, tels que les serveurs, les réseaux et l'espace de stockage, est virtualisée. Bien que les fournisseurs de services cloud gèrent les équipements physiques et les centres de données de ces ressources, vous êtes responsable de la configuration et de la sécurisation des ressources de plate-forme ou d'applications que vous exécutez sur l'infrastructure virtualisée.

  • Dans le modèle PaaS, les fournisseurs de services cloud peuvent non seulement fournir et gérer l'infrastructure et la couche de virtualisation, mais également une plate-forme préconfigurée pour la création de logiciels, d'applications, ainsi que des services Web. La PaaS permet aux développeurs de créer facilement des applications et des middleware, sans se soucier de la sécurité et de la configuration du matériel sous-jacent.

  • Dans le modèle SaaS, le fournisseur de services cloud gère les infrastructures physique et virtuelle et la plate-forme tout en fournissant des applications et des services cloud aux clients. Les applications Internet exécutées directement à partir du navigateur Web ou en accédant à un site Web sont des applications SaaS. Avec ce modèle, les organisations et les administrations n'ont pas à se soucier de l'installation, de la mise à jour ni de la compatibilité des applications, elles gèrent simplement les règles d'accès aux systèmes et aux données.

La figure suivante met en évidence les responsabilités des fournisseurs de services cloud et vos propres responsabilités, sur site et dans les différents modèles de cloud computing :

Responsabilités respectives des fournisseurs de services cloud et du client.

Responsabilité FedRAMP

La pile informatique cloud peut être considérée comme un ensemble de quatre couches : la couche d'infrastructure physique, la couche d'infrastructure cloud, la couche de la plate-forme cloud et la couche logicielle cloud. Le schéma suivant illustre ces différentes couches.

Couches de la pile informatique cloud.

Les couches numérotées dans le schéma correspondent aux éléments suivants :

  1. Software as a Service. Google Workspace dispose d'un agrément d'exploitation à niveau d'impact modéré du FedRAMP. Pour hériter de ces contrôles de sécurité SaaS, vous pouvez demander une copie du package ATO de Google auprès du JAB et inclure à votre propre package une copie de la lettre d'attestation de Google.
  2. Platform as a Service. Outre l'infrastructure physique certifiée FedRAMP de Google Cloud, d'autres produits et services PaaS sont couverts par le programme FedRAMP, y compris App Engine, Cloud Storage et les services de base de données. Dans la mesure du possible, utilisez ces produits et services pré-certifiés.
  3. Infrastructure as a Service. Outre l'infrastructure physique certifiée FedRAMP de Google Cloud, d'autres produits et services IaaS sont couverts par FedRAMP, y compris Google Kubernetes Engine (GKE) et Compute Engine. Dans la mesure du possible, utilisez ces produits et services pré-certifiés.
  4. Infrastructure physique. Google Cloud a reçu du JAB un agrément d'exploitation à niveau d'impact modéré du FedRAMP. Pour hériter de ces contrôles de sécurité physique, vous pouvez demander une copie du package ATO de Google et inclure à votre propre package la lettre d'attestation de Google.

Pour une ATO FedRAMP, chaque couche de la pile informatique cloud est considérée comme une limite de contrôle indépendante, et chaque limite de contrôle requiert une ATO distincte. Ainsi, malgré la conformité FedRAMP de Google Cloud Platform et la présence de dizaines de services Google Cloud couverts par le programme, vous êtes toujours tenu de mettre en œuvre les contrôles de sécurité de la base de référence FedRAMP et le processus SAF pour valider la conformité FedRAMP de vos systèmes et charges de travail cloud.

Il existe deux types de contrôles de sécurité FedRAMP selon les niveaux de référence faible, modéré et élevé : les contrôles mis en œuvre par le système d'information et les contrôles mis en œuvre par l'organisation. Lorsque votre organisation ou administration développe des systèmes conformes au programme FedRAMP sur Google Cloud, vous héritez des contrôles de sécurité de l'infrastructure physique mis en place par Google conformément à sa certification FedRAMP. Vous héritez également des contrôles de sécurité de l'infrastructure physique, IaaS et PaaS intégrés aux produits et services de Google conformes au programme FedRAMP, ainsi que de tous les contrôles SaaS liés à l'utilisation de Google Workspace. Toutefois, vous êtes tenu de mettre en œuvre tous les autres contrôles et configurations de sécurité aux niveaux IaaS, PaaS et SaaS, tels que définis par la base de référence des contrôles de sécurité FedRAMP.

Recommandations de mise en œuvre FedRAMP

Comme indiqué précédemment, vous héritez de certains contrôles de sécurité du fournisseur de services cloud. D'autres contrôles doivent être spécifiquement configurés par vos soins et vous devez pour cela créer des règles, des directives et des règlements définis par l'organisation conformes aux exigences des contrôles.

Cette section recommande des solutions pour aider à la mise en œuvre des contrôles de sécurité NIST 800-53 dans le cloud à l'aide de règles définies par l'organisation, associées aux outils, services et bonnes pratiques Google Cloud.

Contrôle des accès

Pour gérer le contrôle des accès dans Google Cloud, définissez des administrateurs de l'organisation chargés de gérer les comptes du système d'information dans le cloud. Placez ces administrateurs dans des groupes de contrôle des accès à l'aide de Cloud Identity, de la console d'administration ou de tout autre fournisseur d'identité (par exemple, Active Directory, LDAP, etc.), ce qui garantit que les fournisseurs d'identité tiers sont fédérés avec Google Cloud. Utilisez Cloud Identity and Access Management (IAM) pour attribuer des rôles et des autorisations aux groupes d'administration, en mettant en œuvre le principe du moindre privilège et la séparation des tâches.

Développez des règles de contrôle des accès à l'échelle de l'organisation pour les comptes du système d'information dans le cloud. Définissez les paramètres et les procédures utilisés par votre organisation pour créer, activer, modifier, désactiver et supprimer des comptes du système d'information.

Gestion de comptes, séparation des tâches, principe de moindre privilège

Dans les règles de contrôle des accès, définissez les paramètres et les procédures utilisés par votre organisation pour créer, activer, modifier, désactiver et supprimer des comptes du système d'information. Définissez les conditions dans lesquelles les comptes du système d'information doivent être utilisés.

Identifiez également la période d'inactivité au-delà de laquelle les utilisateurs seront contraints de se déconnecter d'un système (par exemple, après *x* minutes, heures, jours). Utilisez Cloud Identity, la console d'administration ou les configurations d'application pour obliger les utilisateurs à se déconnecter et/ou à s'authentifier à nouveau après la période définie.

Définissez les actions à effectuer lorsque les attributions de rôles avec privilèges ne sont plus adaptées à un utilisateur de votre organisation. Le service Policy Intelligence* de Google propose une fonctionnalité de recommandation IAM qui vous aide à supprimer les accès indésirables aux ressources Google Cloud en utilisant le machine learning afin de formuler des recommandations pour le contrôle intelligent des accès.

Définissez les conditions dans lesquelles les groupes doivent être utilisés. Utilisez Cloud Identity ou la console d'administration pour créer des groupes ou des comptes de service. Attribuez des rôles et des autorisations aux groupes et comptes de service partagés à l'aide d'IAM. Utilisez autant que possible des comptes de service. Indiquez l'utilisation atypique d'un compte de système d'information de votre organisation. Lorsque vous détectez une utilisation atypique, utilisez des outils tels que la suite Cloud Operations, Cloud Security Command Center* ou Forseti Security* pour alerter les administrateurs du système d'informations.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Application du flux d'informations et accès à distance

Dans les règles de contrôle des accès à l'échelle de l'organisation, définissez des règles de contrôle de flux d'informations pour votre organisation. Identifiez les ports, protocoles et services interdits ou restreints. Définissez les exigences et restrictions applicables aux interconnexions vers des systèmes internes et externes. Utilisez des outils tels que le cloud privé virtuel pour créer des pare-feu, des réseaux et des sous-réseaux isolés de manière logique. Contribuez à contrôler le flux d'informations en mettant en œuvre Cloud Load Balancing, Traffic Director* et VPC Service Controls.

Lorsque vous définissez des règles de contrôle de flux d'informations, identifiez les points d'accès réseau contrôlés pour votre organisation. Utilisez des outils tels que Identity-Aware Proxy pour fournir un accès contextuel aux ressources cloud aux utilisateurs distants et sur site. Utilisez Cloud VPN ou Cloud Interconnect pour fournir un accès direct et sécurisé aux VPC.

Définissez des règles à l'échelle de l'organisation pour exécuter des commandes avec privilèges et accéder à des données sécurisées via un accès à distance. Limitez l'accès aux données et charges de travail sensibles à l'aide de Cloud IAM et de VPC Service Controls.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).

Tentatives de connexion, notification d'utilisation du système, arrêt de session

Dans les règles de contrôle des accès, spécifiez le délai d'attente avant qu'un utilisateur puisse accéder à une invite de connexion après trois tentatives de connexion infructueuses au cours d'une période de 15 minutes. Définissez les conditions et les déclencheurs selon lesquels les sessions utilisateur seront arrêtées ou déconnectées.

Utilisez Cloud Identity Premium Edition ou la console d'administration pour gérer les appareils mobiles qui se connectent à votre réseau, y compris dans le cadre du BYOD. Créez des règles de sécurité à l'échelle de l'organisation applicables aux appareils mobiles. Décrivez les conditions et procédures requises pour purger et effacer les données des appareils mobiles après des tentatives de connexion infructueuses.

Développez un langage et/ou des notifications sur l'utilisation du système au niveau de l'organisation pour fournir des règles de confidentialité, des conditions d'utilisation et des avis de sécurité aux utilisateurs accédant au système d'information. Définissez les conditions dans lesquelles les notifications à l'échelle de l'organisation seront affichées avant d'accorder l'accès aux utilisateurs. Pub/Sub est un système mondial de messagerie et d'ingestion d'événements qui permet d'envoyer des notifications aux applications et aux utilisateurs finaux. Vous pouvez également utiliser la suite Chrome Enterprise*, y compris le navigateur Chrome* et Chrome OS*, avec l'API Push* et l'API Notifications* pour envoyer des notifications et des mises à jour aux utilisateurs.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Actions autorisées, appareils mobiles, partage d'informations

Dans les règles de contrôle des accès, définissez les actions des utilisateurs pouvant être effectuées sur un système d'information sans identification ni authentification. Utilisez IAM afin de réguler l'accès des utilisateurs pour afficher, créer, supprimer et modifier des ressources spécifiques.

Développez des règles de partage d'informations à l'échelle de l'organisation. Déterminez dans quelles circonstances ces informations peuvent être partagées et à quel moment l'utilisateur peut le faire. Mettez en place des processus pour aider les utilisateurs à partager des informations et à collaborer sur l'ensemble de l'organisation. Google Workspace offre un ensemble de fonctionnalités très utile pour contrôler la collaboration et l'engagement entre les équipes.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : AC-14, AC-19 (05), AC-21.

Sensibilisation et formation

Créez des règles de sécurité et des supports de formation associés afin de les distribuer aux utilisateurs et aux groupes de sécurité de votre organisation au moins une fois par an. Google propose des options de services professionnels pour former les utilisateurs à la sécurité dans le cloud, y compris, mais sans s'y limiter, un engagement Cloud Discover Security et un service d'évaluation de la sécurité Google Workspace

Mettez à jour les règles de sécurité et la formation au moins une fois par an.

Le respect de ces consignes vous aidera à mettre en œuvre le contrôle de sécurité AT-01.

Audit et responsabilité

Créez des règles d'audit et des contrôles de responsabilité à l'échelle de l'organisation qui traitent les procédures et les exigences de mise en œuvre concernant l'audit du personnel, les événements et les actions liés aux systèmes d'information cloud.

Dans les règles d'audit à l'échelle de l'organisation, décrivez les événements qui doivent être audités dans les systèmes d'information de votre organisation, ainsi que la fréquence d'audit. Les événements enregistrés incluent les événements de connexion au compte ayant réussi et échoué, les événements de gestion de compte, l'accès aux objets, la modification des règles, les fonctions avec privilèges, le suivi des processus et les événements système. Pour les applications Web, il peut s'agir, par exemple, de l'activité d'administration, des vérifications d'authentification, des contrôles d'autorisation, des suppressions de données, de l'accès aux données, des modifications de données ou des modifications d'autorisations. Définissez d'autres événements d'intérêt pour votre organisation.

Pour les règles d'audit, nous vous recommandons également de spécifier des indicateurs d'activité inappropriée ou inhabituelle pour votre organisation. Ces activités doivent être surveillées, consignées et signalées régulièrement (au moins une fois par semaine).

Utilisez la suite Google Cloud Operations pour gérer la journalisation, la surveillance et les alertes pour vos environnements Google Cloud, sur site ou autres environnements cloud. Configurez et suivez les événements de sécurité dans votre organisation à l'aide de la suite Google Cloud Operations. Vous pouvez également utiliser Cloud Monitoring pour définir des métriques personnalisées afin de surveiller les événements définis au niveau de l'organisation dans les enregistrements d'audit.

Autorisez les systèmes d'information à alerter les administrateurs en cas d'échec du traitement d'audit Vous pouvez mettre en œuvre ces alertes à l'aide d'outils tels que Pub/Sub et les alertes.

Définissez des normes pour alerter les administrateurs dans un intervalle donné (par exemple, dans les 15 minutes), en cas de panne d'un système ou d'une défaillance fonctionnelle, à inclure lorsque les enregistrements d'audit atteignent un seuil ou une capacité de volume définis. Déterminez la précision des mesures temporelles à l'échelle de l'organisation auxquelles les enregistrements d'audit doivent être horodatés et consignés. Définissez le niveau de tolérance des enregistrements horodatés dans la trace d'audit du système d'information (par exemple, quasiment en temps réel, dans les 20 minutes, etc.)

Définissez des quotas de ressources VPC pour établir les seuils de capacité de stockage des enregistrements d'audit. Configurez des alertes budgétaires pour avertir les administrateurs lorsqu'un pourcentage d'une limite de ressources a été atteint ou dépassé.

Définissez les exigences de stockage à l'échelle de l'organisation pour les données d'audit et les enregistrements, afin d'inclure la disponibilité des journaux d'audit et les conditions de conservation. Utilisez Cloud Storage pour stocker et archiver les journaux d'audit, et BigQuery pour procéder à une analyse plus approfondie des journaux.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.

Évaluation et autorisations de sécurité

Développez une stratégie d'évaluation et d'autorisations de sécurité à l'échelle de l'organisation qui définit les procédures et les exigences de mise en œuvre des évaluations de la sécurité, des contrôles de sécurité et des contrôles d'autorisation.

Dans les règles d'évaluation et d'autorisations de sécurité, définissez le niveau d'indépendance requis pour permettre aux équipes d'évaluation de la sécurité d'évaluer de manière objective les systèmes d'information dans le cloud. Identifiez les systèmes d'information devant être évalués par un évaluateur indépendant.

Les évaluations de sécurité doivent a minima porter sur les domaines suivants :

  • Surveillance approfondie
  • Analyse des failles
  • Test des utilisateurs malveillants
  • Évaluation des menaces internes
  • Tests de performance et de charge

Votre organisation doit définir des exigences et des formes d'évaluation de sécurité supplémentaires.

Assurez-vous que vos règles d'évaluation et d'autorisations de sécurité spécifient les exigences et classifications du système de sécurité, y compris les exigences concernant les systèmes de sécurité non classés et non nationaux.

Dans les règles de contrôle du flux d'informations de votre organisation, décrivez les exigences et restrictions applicables aux interconnexions à des systèmes internes et externes. Définissez des règles de pare-feu VPC pour autoriser et refuser le trafic vers les systèmes d'information, et utilisez VPC Service Controls pour protéger les données sensibles à l'aide de paramètres de sécurité.

Définissez des règles d'audit et de responsabilité à l'échelle de l'organisation, qui imposent des exigences de surveillance continue (CA-07).

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gestion des configurations

Créez des règles de gestion des configurations au niveau de l'organisation qui définissent les procédures et les exigences de mise en œuvre des contrôles, des rôles, des responsabilités, du champ d'application et de la conformité dans l'organisation.

Standardisez les exigences de configuration pour les systèmes d'information et les composants du système appartenant à l'organisation. Fournissez des exigences et des procédures opérationnelles pour la configuration des systèmes d'information Indiquez explicitement le nombre de versions précédentes d'une configuration de base que les administrateurs système sont tenus de conserver pour assurer le rollback du système d'information. Utilisez la suite d'outils de gestion des configurations de Google pour contrôler les configurations du système informatique en tant que code et surveiller les modifications de configuration à l'aide de Policy Intelligence*, Security Command Center* ou Forseti Security*.

Spécifiez la configuration requise pour chaque type de système d'information dans votre organisation (par exemple, cloud, sur site, hybride, non classifié, informations contrôlées non classifiées, ou classifié). Définissez également les exigences de protection de la sécurité pour les appareils détenus par l'organisation et les appareils BYOD (Bring Your Own Device), pour inclure des emplacements géographiques sécurisés et non sécurisés. Utilisez Identity-Aware Proxy pour appliquer des contrôles d'accès basés sur le contexte aux données appartenant à l'organisation, y compris les contrôles d'accès par emplacement géographique. Utilisez Cloud Identity Premium Edition ou la console d'administration pour appliquer des configurations de sécurité aux appareils mobiles qui se connectent au réseau de l'organisation.

Dans les règles de gestion de la configuration, définissez un élément de contrôle des modifications de configuration à l'échelle de l'organisation, tel qu'un comité ou une commission de contrôle des modifications. Documentez quelle fréquence ce comité doit se réunir et dans quelles conditions. Mettez en place un organe officiel chargé d'examiner et d'approuver les modifications de configuration.

Identifiez les autorités d'approbation de la gestion des configurations pour votre organisation. Ces administrateurs examineront les demandes de modification des systèmes d'information. Définissez le délai dont les autorités disposent pour approuver ou refuser les demandes de modification. Fournissez aux responsables de la mise en œuvre des modifications des directives sur la manière d'informer les autorités d'approbation lorsque des modifications apportées au système d'information.

Définissez des restrictions d'utilisation des logiciels Open Source au sein de votre organisation, de façon à spécifier les logiciels dont l'utilisation est approuvée et non approuvée. Utilisez Cloud Identity ou la console d'administration pour intégrer la mesure d'approbation aux logiciels et applications approuvés pour votre organisation. Cloud Identity Premium vous permet d'activer l'authentification unique et l'authentification multifacteur sur les applications tierces.

Utilisez des outils tels que les alertes pour envoyer des notifications aux administrateurs de la sécurité lorsque des modifications de configuration sont consignées. Fournissez un accès administrateur à des outils comme Cloud Security Command Center* ou Forseti Security* pour surveiller les modifications de configuration en quasi-temps réel. Avec Policy Intelligence*, vous pouvez trier parti du machine learning pour étudier les configurations définies par votre organisation et sensibiliser les clients dès lors que les configurations changent par rapport à la base de référence.

Appliquez le principe de fonctionnalités minimales au sein de votre organisation à l'aide de règles de contrôle de flux d'informations.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

Planification des mesures d'urgence

Élaborez un plan d'urgence qui définit les procédures et les exigences de mise en œuvre dans le cadre des contrôles de planification d'urgence dans votre organisation. Identifiez le personnel, les rôles et les responsabilités clés parmi l'ensemble des éléments organisationnels.

Définissez aussi les opérations du système d'information qui sont essentielles à la mission et aux activités de votre organisation. Définissez des objectifs de délais de reprise (RTO) et des objectifs de points de reprise (RPO) pour la reprise des opérations essentielles après activation du plan d'urgence.

Décrivez les systèmes d'information critiques et les logiciels associés. Identifiez un maximum d'informations de sécurité, et fournissez des directives et des exigences pour le stockage de copies de sauvegarde des composants et des données critiques du système. Déployez les ressources globales, régionales et zonales de Google et les emplacements à l'échelle mondiale pour la haute disponibilité. Utilisez les classes de stockage Cloud Storage pour les options multirégionales, régionales, de sauvegarde et d'archivage. Mettez en œuvre l'autoscaling global du réseau et l'équilibrage de charge global avec Cloud Load Balancer.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identification et authentification

Créez une règle d'identification et d'authentification pour votre organisation, qui spécifie les procédures d'identification et d'authentification, les champs d'application, les rôles, les responsabilités et les spécifications concernant la gestion, les entités et la conformité. Spécifiez les contrôles d'identification et d'authentification requis par votre organisation. Utilisez Cloud Identity Premium ou la console d'administration pour identifier les appareils professionnels et personnels pouvant se connecter aux ressources de votre organisation. Utilisez Identity-Aware Proxy pour appliquer l'accès contextuel aux ressources.

Incluez des conseils sur le contenu de l'authentificateur de votre organisation, les conditions de réutilisation de l'authentification, les normes de protection des authentificateurs, ainsi que les normes de modification ou d'actualisation des authentificateurs. En outre, prenez en compte les exigences concernant l'utilisation d'authentificateurs mis en cache. Spécifiez les limites de temps d'utilisation et les définitions des délais d'expiration pour les authentificateurs mis en cache. Définissez les exigences minimales et maximales de durée de vie ainsi que les périodes d'actualisation qui doivent être appliquées par les systèmes d'information au sein de votre organisation.

Utilisez Cloud Identity ou la console d'administration pour appliquer des règles de mots de passe telles que les règles de sensibilité, d'utilisation des caractères, de création ou de réutilisation, de durée de vie, d'exigences de stockage et de transmission des mots de passe.

Décrivez les exigences concernant l'authentification matérielle et/ou les jetons logiciels d'authentification au sein de votre organisation, y compris, mais sans s'y limiter, les exigences concernant les cartes PIV et PKI. Vous pouvez utiliser les clés de sécurité Titan* pour imposer des exigences d'authentification physique supplémentaires aux administrateurs et au personnel avec privilèges.

Dans les règles d'identification et d'authentification, décrivez les composants du système d'information FICAM (Federal Identity, Credential and Access Management) qui sont autorisés à accepter des tiers dans votre organisation. La plate-forme d'identité de Google est une plate-forme de gestion de l'authentification et des accès client (CIAM) qui permet aux entreprises d'intégrer une fonctionnalité de gestion de l'authentification et des accès aux applications auxquelles des entités externes ont accès.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Gestion des incidents

Mettez en place un règlement pour la gestion des incidents pour votre organisation, incluant des procédures pour faciliter et mettre en œuvre des contrôles dans ce domaine. Créez des groupes de sécurité pour les équipes et les autorités devant intervenir en cas d'incident dans votre organisation. Utilisez des outils tels que la suite Cloud Operations ou Security Command Center* pour partager des événements d'incident, des journaux et des informations. Incident Response and Management* (IRM) permet aux administrateurs d'examiner et de résoudre les incidents de sécurité du système d'information de bout en bout.

Élaborez un plan de test, des procédures et des checklists pour la gestion des incidents, ainsi que des exigences et des critères de réussite. Définissez les catégories d'incidents que votre organisation doit être capable d'identifier et spécifiez les actions correspondantes pour y répondre. Définissez les actions que le personnel autorisé doit entreprendre en cas d'incident. Il peut s'agir de la marche à suivre pour gérer les fuites d'information, les failles de cybersécurité et les piratages. Profitez des fonctionnalités de Google Workspace pour analyser et mettre en quarantaine le contenu de certains e-mails, bloquer les tentatives d'hameçonnage et appliquer des restrictions aux pièces jointes. Utilisez Cloud Data Loss Prevention (Cloud DLP) pour inspecter, classer et supprimer les éléments d'identification des données sensibles afin de limiter l'exposition.

Spécifiez les exigences à l'échelle de l'organisation pour la formation à la gestion des incidents, y compris celles concernant les utilisateurs généraux comme les rôles et responsabilités avec privilèges Appliquez des conditions de périodes de formation (par exemple, dans les 30 jours suivant l'embauche, trimestrielles, annuelles, etc.).

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Maintenance du système

Créez des règles de maintenance du système pour votre organisation, documentez les contrôles de maintenance, les rôles, les responsabilités, la gestion, les conditions de coordination et la conformité du système. Définissez les paramètres de maintenance contrôlée, y compris les processus d'approbation pour la maintenance et les réparations hors site, ainsi que les délais de remplacement des appareils et des pièces défaillants à l'échelle de l'organisation. Votre organisation bénéficiera de la suppression des données sur Google Cloud et du nettoyage des données et des équipements, ainsi que de la sécurité et de l'innovation des centres de données Google pour les opérations de maintenance et de réparation hors site.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : MA-01, MA-02, MA-06.

Protection des contenus multimédias

Dans le cadre des autorisation FedRAMP ATO, nous répondons aux exigences de protection des médias pour l'infrastructure physique. Consultez les articles Conception de la sécurité de l'infrastructure et Présentation de la sécurité de Google. Il vous incombe ensuite de satisfaire aux exigences de sécurité de l'infrastructure virtuelle.

Élaborez des règles de protection des médias pour votre organisation en documentant les contrôles multimédia, les règles et procédures de protection, les exigences de conformité, ainsi que les rôles et les responsabilités de gestion. Documentez les procédures pour faciliter et mettre en œuvre des protections multimédias au sein de votre organisation. Créez des groupes de sécurité définissant le personnel et les rôles chargés de gérer les médias et leurs protections.

Spécifiez les types de supports et les accès approuvés pour votre organisation, y compris les restrictions numériques et non numériques. Définissez des marquages et des mises en garde concernant la gestion des médias qui doivent être mis en œuvre dans votre organisation, y compris les exigences de marquage de sécurité à l'intérieur et à l'extérieur des zones d'accès contrôlé. Utilisez Data Catalog* pour gérer les métadonnées de ressources cloud et simplifier la découverte de données. Contrôlez la conformité des ressources cloud dans votre organisation, régulez la distribution et la découverte des ressources cloud avec Private Catalog*.

Identifiez comment nettoyer, éliminer ou réutiliser les contenus gérés par votre organisation. Décrivez les cas d'utilisation et/ou les circonstances dans lesquelles un nettoyage, une élimination ou une réutilisation de médias ou d'appareils sont requis ou acceptables. Définissez les méthodes et mécanismes de protection des médias jugés acceptables pour votre organisation.

Avec Google, vous bénéficiez de la suppression des données sur Google Cloud, du nettoyage des données et des équipements et de la sécurité et de l'innovation des centres de données Google. En outre, Cloud KMS et Cloud HSM fournissent une protection cryptographique conforme à la norme FIPS, tandis que les clés de sécurité Titan* peuvent être utilisées pour imposer des exigences d'authentification physique supplémentaires aux administrateurs et au personnel avec privilèges.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Protection physique et environnementale

Dans le cadre des autorisations FedRAMP ATO, Google Cloud satisfait aux exigences physiques et de protection de l'environnement concernant l'infrastructure physique. Consultez les articles Conception de la sécurité de l'infrastructure et Présentation de la sécurité de Google. Il vous incombe ensuite de satisfaire aux exigences de sécurité de l'infrastructure virtuelle.

Établissez des règles de protection physique et environnementale pour votre organisation en précisant les contrôles de protection, les entités de protection, les normes de conformité, les rôles, les responsabilités et les exigences en matière de gestion. Décrivez comment mettre en œuvre la protection physique et environnementale dans l'ensemble de votre organisation.

Créez des groupes de sécurité définissant le personnel et les rôles chargés de gérer les protections physiques et environnementales. Demandez aux administrateurs qui accèdent à des ressources de calcul sensibles d'utiliser les clés de sécurité Titan* ou une autre forme d'authentification multifacteur pour vérifier l'intégrité des accès.

Dans les règles de protection physique et environnementale, définissez les exigences de contrôle des accès physiques pour votre organisation. Identifiez les points d'entrée et de sortie des installations pour les sites du système d'information, les protections de contrôle d'accès pour ces installations et les exigences d'inventaire. Tirez parti d'outils tels que Google Maps Platform* pour afficher et suivre les installations, les points d'entrée et de sortie pour les mappages d'emplacements. Utilisez Resource Manager et Private Catalog* pour contrôler les accès aux ressources cloud, les rendant ainsi organisés et facilement identifiables.

Utilisez Cloud Monitoring pour configurer les événements, accès et incidents pouvant être consignés. Définissez des événements d'accès physique à l'échelle de l'organisation qui doivent être consignés dans Cloud Logging. Utilisez Incident Response Management* pour résoudre les incidents de sécurité physiques qui ont été déclenchés et consolidez les résultats dans Security Command Center*.

Utilisez les règles de protection physique et environnementales pour prendre en compte des situations d'urgence, telles que l'arrêt d'urgence des systèmes d'information, l'alimentation d'urgence, l'extinction d'incendie et les procédures d'urgence. Identifiez les points de contact à utiliser en cas d'urgence, en tenant compte des services d'intervention d'urgence et du personnel de sécurité physique de votre organisation. Décrivez les exigences et les emplacements pour les sites professionnels secondaires. Spécifiez les contrôles de sécurité et le personnel des sites opérationnels principaux et secondaires. Déployez les ressources globales, régionales et zonales de Google et les emplacements à l'échelle mondiale pour la haute disponibilité. Utilisez les classes de stockage Cloud Storage pour les options multirégionales, régionales, de sauvegarde et d'archivage. Mettez en œuvre l'autoscaling global du réseau et l'équilibrage de charge global avec Cloud Load Balancer. Créez des modèles de déploiement déclaratifs pour établir un processus de déploiement reproductible basé sur des modèles.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Planification de la sécurité du système

Élaborez des règles de planification de la sécurité pour votre organisation, décrivant les contrôles de planification de la sécurité, les rôles, les responsabilités, la gestion, les entités chargées de la planification de la sécurité pour votre organisation, ainsi que les exigences de conformité. Décrivez comment la planification de la sécurité doit être mise en œuvre dans l'ensemble de votre organisation.

Créez des groupes pour définir le personnel de planification de la sécurité en conséquence. Spécifiez des groupes de sécurité pour les évaluations de sécurité, les audits, la maintenance du matériel et des logiciels, la gestion des correctifs et les plans d'urgence pour votre organisation. Utilisez des outils tels que la suite Cloud Operations, Security Command Center* ou Forseti Security* pour surveiller la sécurité, la conformité et le contrôle des accès au sein de votre organisation.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : PL-01, PL-02, PL-02 (03).

Sécurité du personnel

Créez des règles de sécurité du personnel qui identifient le personnel de sécurité, les rôles et les responsabilités de ces personnes, la mise en œuvre de la sécurité du personnel et les contrôles de sécurité du personnel qui doivent être appliqués dans toute votre organisation. Identifiez les conditions nécessitant qu'une personne fasse l'objet d'un contrôle de sécurité, d'un contrôle de sécurité supplémentaire ou d'une enquête de sécurité au niveau organisationnel. Décrivez les exigences en matière d'autorisations de sécurité au sein de votre organisation.

Incluez des conseils pour gérer les départs et les transferts des collaborateurs. Définissez les besoins et les paramètres des entretiens de départ et des sujets de sécurité qui doivent être abordés lors de ces entretiens. Indiquez à quel moment les entités et administrateurs de la sécurité de votre organisation doivent être informés des départs, transferts ou réaffectations du personnel (par exemple, dans les 24 heures). Spécifiez les actions à effectuer par le personnel et l'organisation en cas de transfert, de réaffectation ou de départ. Par ailleurs, mettez en place les éléments requis pour l'application de sanctions formelles à l'encontre des employés. Indiquez à quel moment le personnel et les administrateurs de la sécurité doivent être informés des sanctions à l'encontre des employés et détaillez les processus associés.

Utilisez IAM pour attribuer des rôles et des autorisations au personnel. Ajoutez, supprimez, désactivez et activez les profils et les accès du personnel dans Cloud Identity ou la console d'administration. Appliquez des exigences d'authentification physique supplémentaires pour les administrateurs et le personnel privilégié à l'aide des clés de sécurité Titan*.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Évaluation des risques

Mettez en œuvre des règles d'évaluation des risques qui identifient les personnes chargées de l'évaluation des risques, les contrôles à appliquer et les procédures à suivre pour évaluer les risques au sein de votre organisation. Définissez comment les évaluations des risques doivent être documentées et signalées. Utilisez des outils tels que Forseti Security* et Security Command Center* pour informer automatiquement le personnel de sécurité des risques et des pratiques de sécurité à adopter dans votre organisation.

Exploitez la suite d'outils d'évaluation des risques de Google, tels que Web Security Scanner, Container Analysis ou Google Cloud Armor, ainsi que la protection contre l'hameçonnage et les logiciels malveillants de Google Workspace pour analyser et signaler les failles des systèmes d'information de votre organisation. Mettez ces outils à disposition du personnel et des administrateurs de l'évaluation des risques, afin d'identifier et d'éliminer les failles.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : RA-01, RA-03, RA-05.

Acquisition de systèmes et de services

Développez des règles d'acquisition de système et de services qui décrivent les rôles et les responsabilités du personnel clé, l'acquisition et la gestion des services, la conformité et les entités. Décrivez les procédures d'acquisition de système et de services, ainsi que les consignes de mise en œuvre applicables à votre organisation. Définissez le cycle de vie du développement du système de votre organisation pour les systèmes d'information et la sécurité des informations. Décrivez les rôles et responsabilités en matière de sécurité des informations, les membres du personnel en charge et comment les règles d'évaluation des risques de votre organisation doivent guider et influencer les activités de cycle de vie du développement.

Mettez en évidence les procédures à suivre au sein de votre organisation lorsque la documentation du système d'information n'est pas disponible ou non définie. Faites participer les administrateurs des systèmes d'information et le personnel des services système de votre organisation, si nécessaire. Définissez les formations requises pour les administrateurs et les utilisateurs qui mettent en œuvre ou ont accès aux systèmes d'information au sein de votre organisation.

Utilisez des outils tels que Security Command Center* et Forseti Security* pour suivre la conformité de la sécurité, les résultats et les règles de contrôle de sécurité de votre organisation. Google fournit une description de l'ensemble de ses normes, règlementations et certifications de sécurité afin d'aider les clients à respecter les exigences et les lois en matière de conformité sur Google Cloud. De plus, Google propose une suite de produits de sécurité pour aider les clients à surveiller en continu leurs systèmes d'information, leurs communications et leurs données, à la fois dans le cloud et sur site.

Spécifiez les restrictions de zone géographique pour les données, les services et le traitement des informations de votre organisation, ainsi que les conditions dans lesquelles les données peuvent être stockées ailleurs. Google propose des options mondiales, régionales et zonales pour le stockage de données, le traitement et l'utilisation des services dans Google Cloud.

Exploitez les règles de gestion des configurations pour réguler la gestion des configurations par les développeurs pour les contrôles d'acquisition de système et de services, et mettez en œuvre les règles d'évaluation de la sécurité et d'autorisation pour faire appliquer les exigences de test de sécurité et d'évaluation de la sécurité par les développeurs.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protection des systèmes et des communications

Créez des règles de protection du système et des communications qui décrivent les rôles et les responsabilités du personnel clé, les exigences de mise en œuvre des règles de protection des communications système et les contrôles de protection requis pour votre organisation. Identifiez les types d'attaques de déni de service que votre organisation reconnaît et surveille, et décrivez les exigences de protection DoS applicables à votre organisation.

Utilisez la suite Google Cloud Operations pour gérer la journalisation, la surveillance et les alertes pour des attaques de sécurité prédéfinies pour votre organisation. Mettez en œuvre des outils tels que Cloud Load Balancing et Google Cloud Armor pour protéger votre périmètre cloud, et profitez des services de Cloud VPC tels que des pare-feu et des contrôles de sécurité réseau pour protéger votre réseau cloud interne.

Identifiez les exigences de disponibilité des ressources de votre organisation, définissez la manière dont les ressources cloud seront allouées à l'ensemble de votre organisation et identifiez les contraintes qui seront mises en œuvre pour limiter les utilisations excessives. Utilisez des outils tels que Resource Manager pour contrôler l'accès aux ressources au niveau de l'organisation, du dossier, du projet et de chaque ressource. Définissez des quotas de ressources cloud pour gérer les requêtes API et l'utilisation des ressources dans Google Cloud.

Établissez les exigences de protection des limites dans vos systèmes d'information et vos communications système. Définissez les exigences concernant le trafic des communications internes et la manière dont le trafic interne doit interagir avec les réseaux externes. Spécifiez les conditions requises pour les serveurs proxy ainsi que d'autres composants de routage et d'authentification de réseau.

Tirez parti de l'outil Traffic Director* pour gérer le trafic réseau et le flux de communications de votre organisation. Utilisez Identity-Aware Proxy pour contrôler l'accès aux ressources cloud en fonction de l'authentification, de l'autorisation et du contexte, y compris l'emplacement géographique ou l'empreinte des appareils. Mettez en œuvre l'accès privé à Google*, Cloud VPN* ou Cloud Interconnect* pour sécuriser le trafic réseau et les communications entre les ressources internes et externes. Utilisez le VPC pour définir et sécuriser les réseaux cloud de votre organisation. Établissez des sous-réseaux pour isoler davantage les ressources cloud et les périmètres du réseau.

Google propose des réseaux définis par logiciel à l'échelle mondiale, avec des options multirégionales, régionales et zonales pour la haute disponibilité et le basculement. Définissez les exigences de défaillance pour votre organisation afin de vous assurer que vos systèmes d'information échouent dans un état connu. Capturez les exigences pour préserver les informations de l'état du système d'information Utilisez des groupes d'instances gérés et des modèles Deployment Manager pour réinstancier des ressources ayant échoué ou non opérationnelles. Autorisez les administrateurs à accéder à Security Command Center* ou Forseti Security* pour surveiller activement l'état de confidentialité, d'intégrité et de disponibilité de votre organisation.

Dans les règles, décrivez les exigences de votre organisation concernant la gestion des clés cryptographiques, y compris les exigences concernant la génération de clés, leur distribution, leur stockage, leur accès et leur destruction. Utilisez Cloud KMS et Cloud HSM pour gérer, générer, utiliser, alterner, stocker et détruire des clés de sécurité FIPS dans le cloud.

Par défaut, Google chiffre les données au repos, mais vous pouvez utiliser Cloud KMS avec Compute Engine et Cloud Storage pour assurer un chiffrement supplémentaire des données à l'aide de clés cryptographiques. Vous pouvez également déployer des VM protégées pour appliquer des contrôles d'intégrité au niveau du noyau sur Compute Engine.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).

Intégrité du système et des informations

Mettez en œuvre des règles d'intégrité du système et des informations qui décrivent les rôles et les responsabilités du personnel clé, les procédures et les exigences de mise en œuvre de l'intégrité, les normes de conformité et les contrôles de sécurité pour votre organisation. Créez des groupes de sécurité pour le personnel de votre organisation responsable de l'intégrité du système et des informations. Décrivez les exigences de correction de faille pour votre organisation, afin d'inclure des instructions pour la surveillance, l'évaluation, l'autorisation, la mise en œuvre, la planification, l'analyse comparative et la résolution des failles de sécurité dans l'ensemble de votre organisation et de ses systèmes d'information.

Exploitez la suite d'outils de sécurité de Google, y compris, sans s'y limiter, les éléments suivants :

  • Navigateur Chrome
  • Web Security Scanner
  • Container Analysis
  • Protections contre l'hameçonnage et les logiciels malveillants de Google Workspace
  • Centre de sécurité Google Workspace
  • Google Cloud Armor

Utilisez ces outils pour offrir les protections suivantes :

  • vous protéger contre le code malveillant, les cyberattaques et les failles courantes ;
  • mettre en quarantaine le spam et définir des règles relatives au spam et aux logiciels malveillants ;
  • alerter les administrateurs en cas de failles ;
  • obtenir des insights sur l'ensemble de votre organisation pour une gestion centralisée.

Utilisez des outils tels que la suite Google Cloud Operations, Security Command Center* ou Forseti Security* pour gérer, alerter et surveiller les contrôles et résultats de sécurité de votre organisation de manière centralisée. Plus précisément, utilisez la suite Google Cloud Operations pour enregistrer les actions d'administration, les accès aux données et les événements système initiés par des utilisateurs et des membres du personnel privilégiés au sein de votre organisation. Informez les administrateurs des messages d'erreur et de la gestion des erreurs dans le système d'information.

Définissez des événements liés à la sécurité par rapport aux logiciels, aux micrologiciels et aux informations de votre organisation (par exemple, les failles zero-day, la suppression non autorisée de données, l'installation de nouveaux matériels, logiciels ou micrologiciels). Expliquez les mesures à prendre lorsque ces types de modifications liées à la sécurité se produisent. Spécifiez des objectifs de surveillance et des indicateurs d'attaque permettant d'alerter les administrateurs, afin d'inclure les informations essentielles à surveiller dans les systèmes d'information de votre organisation. Définissez les rôles et les responsabilités de surveillance du système et des informations, ainsi que la fréquence de surveillance et de création de rapports (par exemple, en temps réel, toutes les 15 minutes, toutes les heures, tous les trimestres).

Capturez les exigences pour l'analyse du trafic des communications pour les systèmes d'information dans votre organisation. Spécifiez les conditions requises pour la découverte d'anomalies, y compris les points système pour la surveillance. *Les services Network Intelligence Center permettent d'effectuer une surveillance approfondie des performances réseau et de la sécurité. Google dispose également de solides partenariats tiers qui s'intègrent à Google Cloud pour l'analyse et la protection des points de terminaison et des hôtes cloud, tels que +Aqua Security et +Crowdstrike. Les VM protégées permettent de renforcer les appareils, de vérifier l'authentification et de garantir des processus de démarrage sécurisés.

Définissez la manière dont votre organisation doit vérifier et se protéger contre les anomalies de sécurité et les violations de l'intégrité. Utiliser des outils tels que Security Command Center*, Forseti Security* ou Policy Intelligence* pour surveiller et détecter les modifications de configuration. Utilisez les +Outils de gestion des configurations ou les modèles Deployment Manager pour réinstancier ou arrêter les modifications des ressources cloud.

Dans les règles relatives aux informations système et à l'intégrité, spécifiez les conditions requises pour autoriser et approuver les services réseau au sein de votre organisation. Définissez les processus d'approbation et d'autorisation des services réseau. Le VPC est essentiel pour définir des réseaux cloud et un sous-réseau à l'aide de pare-feu afin de protéger les périmètres du réseau. VPC Service Controls permet d'appliquer des périmètres de sécurité réseau supplémentaires pour les données sensibles dans le cloud.

En plus, vous héritez automatiquement de la pile de démarrage sécurisé et de l'infrastructure de défense en profondeur et éprouvée de Google.

Le respect de ces consignes vous aidera à mettre en œuvre les contrôles de sécurité suivants : SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.

Conclusion

La sécurité et la conformité dans le cloud représentent un effort conjoint de votre part et du fournisseur de services cloud. Google s'assure que l'infrastructure physique et les services correspondants respectent la conformité avec des dizaines de normes, réglementations et certifications tierces, et vous êtes sont tenu de vous assurer que tout ce que vous créez dans le cloud est conforme.

Google Cloud vous soutient dans vos efforts en matière de conformité en mettant à votre disposition le même ensemble de produits et fonctionnalités de sécurité que Google utilise pour protéger son infrastructure.

Étape suivante

  • Explorez des architectures de référence, des schémas, des tutoriels et des bonnes pratiques concernant Google Cloud. Consultez notre Centre d'architecture cloud.