Ce document du framework d'architecture Google Cloud présente les bonnes pratiques à adopter pour gérer les obligations de conformité.
Vos obligations réglementaires sur le cloud dépendent d'une combinaison de facteurs, parmi lesquels :
- Les lois et réglementations qui appliquent aux emplacements physiques de votre organisation
- Les lois et réglementations qui s'appliquent à l'emplacement physique de vos clients.
- Les exigences réglementaires de votre secteur d'activité.
Ces exigences façonnent de nombreuses décisions que vous devez prendre pour ce qui est des contrôles de sécurité à appliquer à vos charges de travail dans Google Cloud.
Un processus de conformité typique passe par trois étapes : évaluation, correction des lacunes et surveillance continue. Cette section décrit les bonnes pratiques que vous pouvez appliquer à chaque étape.
Évaluer vos besoins en conformité
L'évaluation de la conformité commence par un examen approfondi de toutes vos obligations réglementaires et de la façon dont votre entreprise les met en œuvre. Pour vous aider à évaluer les services Google Cloud, utilisez le Centre de ressources pour la conformité. Ce site fournit des détails sur les points suivants :
- Compatibilité du service avec les différentes réglementations
- Certifications et attestations de Google Cloud
Vous pouvez demander un entretien avec un spécialiste de la conformité Google pour mieux comprendre le cycle de vie de la conformité chez Google et découvrir comment respecter à vos obligations réglementaires.
Pour en savoir plus, consultez la section Assurer la conformité dans le cloud (PDF).
Déployer Assured Workloads
Assured Workloads est l'outil Google Cloud qui s'appuie sur les contrôles internes de Google Cloud pour vous aider à respecter vos obligations réglementaires. Assured Workloads vous permet d'effectuer les opérations suivantes :
- Choisir votre régime de conformité. L'outil définit ensuite automatiquement les contrôles d'accès pour le personnel de référence.
- Définir l'emplacement de vos données à l'aide de règles d'administration afin que vos données au repos et vos ressources ne résident que dans la région de votre choix.
- Choisir l'option de gestion des clés (par exemple, la période de rotation des clés) qui correspond le mieux à vos exigences de sécurité et de conformité.
- Pour certaines exigences réglementaires telles que le niveau d'impact modéré du FedRAMP, sélectionnez les critères d'accès du personnel d'assistance Google (par exemple, si la personne a fait l'objet d'une vérification d'antécédents appropriée).
- Utilisez des clés appartenant à Google et gérées par Google conformes à la norme FIPS-140-2 et compatibles avec le niveau d'impact modéré du programme FedRAMP. Pour ajouter une couche de contrôle et de séparation des tâches, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus sur les clés, consultez la page Chiffrer vos données.
Passez en revue les plans des modèles et les bonnes pratiques applicables à votre régime de conformité
Google a publié des plans et des guides de solution qui décrivent les bonnes pratiques et incluent des modules Terraform permettant de déployer un environnement qui vous aidera à assurer la conformité. Le tableau suivant répertorie une sélection de plans qui répondent aux problématiques de sécurité et de respect des obligations réglementaires.
Standard | Description |
---|---|
PCI | |
FedRAMP | |
HIPAA |
Surveiller la conformité
La plupart des réglementations vous obligent à surveiller des activités particulières, ce qui inclut parfois les contrôles d'accès. Pour vous aider dans la surveillance, vous pouvez utiliser :
- Access Transparency, qui fournit des journaux en temps quasi réel lorsque les administrateurs Google Cloud accèdent à votre contenu.
- La journalisation des règles de pare-feu, qui enregistre les connexions TCP et UDP au sein d'un réseau VPC pour toutes les règles que vous créez vous-même. Ces journaux peuvent être utiles pour auditer l'accès au réseau ou pour identifier le plus tôt possible les cas d'utilisation non approuvée du réseau.
- Les journaux de flux VPC, qui enregistrent les flux de trafic réseau envoyés ou reçus par les instances de VM.
- Security Command Center Premium qui surveiller la conformité avec différentes normes.
- OSSEC (ou un autre outil Open Source), qui consigne l'activité des personnes disposant d'un accès administrateur à votre environnement.
- Key Access Justifications, qui indique les raisons d'une demande d'accès à une clé.
Automatiser la conformité
Pour vous aider à respecter les réglementations changeantes, déterminez s'il existe des moyens d'automatiser vos stratégies de sécurité en les incorporant dans votre infrastructure en tant que déploiements de code. Nous vous conseillons, par exemple, de suivre les recommandations suivantes :
Utilisez des plans de sécurité pour créer vos règles de sécurité dans vos déploiements d'infrastructure.
Configurez Security Command Center pour être averti en cas de problèmes de non-conformité. Par exemple, surveillez des problèmes tels que la désactivation des comptes de service ou de la validation en deux étapes par des utilisateurs. Pour en savoir plus, consultez la section Configurer des notifications de recherche.
Configurez la résolution automatique pour des notifications spécifiques. Pour en savoir plus, consultez la section Code Cloud Functions.
Pour plus d'informations sur l'automatisation de la conformité, consultez la page Risk and Compliance as Code (RCaC) (Risques et conformité en tant que code).
Étape suivante
Pour en savoir plus sur la conformité, consultez les ressources suivantes :
- Mettre en œuvre des exigences de résidence et de souveraineté des données (document suivant de cette série)
- Centre de ressources pour la conformité
- Livre blanc sur la sécurité de Google (PDF)
- Assured Workloads