Sécuriser votre réseau

Ce document du framework d'architecture Google Cloud décrit les bonnes pratiques à adopter pour sécuriser votre réseau.

L'extension de votre réseau existant aux environnements cloud a de nombreuses conséquences en termes de sécurité. Votre approche sur site des défenses multicouches implique probablement un périmètre distinct entre Internet et votre réseau interne. Vous protégez probablement le périmètre à l'aide de mécanismes tels que des pare-feu physiques, des routeurs et des systèmes de détection des intrusions. Comme la limite est clairement définie, vous pouvez surveiller les intrusions et réagir en conséquence.

Lorsque vous migrez vers le cloud (de manière complète ou hybride), vous allez au-delà de votre périmètre sur site. Ce document décrit les différentes manières de sécuriser les données et les charges de travail de votre organisation sur Google Cloud. Comme indiqué dans la section Gérer les risques avec des contrôles, la façon dont vous configurez et sécurisez votre réseau Google Cloud dépend des exigences de votre entreprise et de votre intérêt pour les risques.

Dans cette section, nous partons du principe que vous avez lu la section Mise en réseau de la catégorie Conception système et que vous avez déjà créé un schéma d'architecture de base de vos composants réseau Google Cloud. Pour obtenir un exemple de schéma, consultez la section Architecture hub-and-spoke.

Déployer des réseaux "zéro confiance"

Le passage au cloud implique que le modèle de confiance de votre réseau doit changer. Étant donné que vos utilisateurs et vos charges de travail ne sont plus derrière votre périmètre sur site, vous ne pouvez pas utiliser les protections périmétriques de la même manière pour créer un réseau interne fiable. Le modèle de sécurité "zéro confiance" signifie que personne n'est approuvé par défaut, que ce soit à l'intérieur ou à l'extérieur du réseau de votre organisation. Lors de la validation des requêtes d'accès, le modèle de sécurité "zéro confiance" nécessite de vérifier à la fois l'identité de l'utilisateur et le contexte. Contrairement à un VPN, vous déplacez les contrôles d'accès du périmètre réseau vers les utilisateurs et les appareils.

Dans Google Cloud, vous pouvez utiliser BeyondCorp Enterprise comme solution zéro confiance. BeyondCorp Enterprise fournit une prévention des menaces et une protection des données, ainsi que des contrôles d'accès supplémentaires. Pour en savoir plus sur la configuration, consultez la page Premiers pas avec BeyondCorp Enterprise.

En plus de BeyondCorp Enterprise, Google Cloud inclut Identity-Aware Proxy (IAP). IAP vous permet d'étendre la sécurité "zéro confiance" à vos applications à la fois dans Google Cloud et sur site. IAP utilise des stratégies de contrôle d'accès pour fournir l'authentification et l'autorisation aux utilisateurs qui accèdent à vos applications et à vos ressources.

Sécurisez les connexions à vos environnements sur site ou multicloud.

De nombreuses organisations disposent de charges de travail à la fois dans les environnements cloud et sur site. En outre, pour plus de résilience, certaines organisations utilisent des solutions multicloud. Dans ces scénarios, il est essentiel de sécuriser la connectivité entre tous les environnements.

Google Cloud comprend des méthodes d'accès privé pour les VM compatibles avec Cloud VPN ou Cloud Interconnect, y compris les suivantes :

• Utilisez Cross-Cloud Interconnect en tant que service géré pour associer vos réseaux VPC à d'autres fournisseurs de services cloud compatibles via des connexions directes à haut débit. Avec Cross-Cloud Interconnect, vous n'avez pas besoin de fournir votre propre routeur ni de travailler avec un fournisseur tiers.
• Utilisez l'interconnexion dédiée et l'interconnexion partenaire pour associer vos réseaux VPC à votre centre de données sur site ou à d'autres fournisseurs cloud via des connexions directes à haut débit.
• Utilisez des VPN IPsec pour associer vos réseaux VPC (cloud privé virtuel) à votre centre de données sur site ou à d'autres fournisseurs de services cloud.
• Utilisez les points de terminaison Private Service Connect pour accéder aux services publiés, qui sont fournis par votre organisation ou par un autre fournisseur.
• Utilisez des points de terminaison Private Service Connect pour permettre à vos VM d'accéder aux APIs Google, à l'aide d'adresses IP internes. Avec Private Service Connect, vos VM n'ont pas besoin d'adresses IP externes pour accéder aux services Google.
• Si vous utilisez GKE Enterprise, envisagez d'utiliser des passerelles de sortie Anthos Service Mesh. Si vous n'utilisez pas GKE Enterprise, utilisez une option tierce.

Pour comparer les produits, consultez la section Choisir un produit de connectivité réseau.

Désactiver les réseaux par défaut

Lorsque vous créez un projet Google Cloud, un réseau VPC Google Cloud par défaut avec des adresses IP en mode automatique et des règles de pare-feu préremplies sont automatiquement provisionnées. Pour les déploiements de production, nous vous recommandons de supprimer les réseaux par défaut dans les projets existants et de désactiver la création de réseaux par défaut dans les nouveaux projets.

Les réseaux VPC (cloud privé virtuel) vous permettent d'utiliser n'importe quelle adresse IP interne. Pour éviter les conflits d'adresses IP, nous vous recommandons de commencer par planifier votre réseau et votre allocation d'adresses IP sur l'ensemble de vos déploiements connectés et de vos projets. Même si un projet autorise plusieurs réseaux VPC, il est généralement recommandé de limiter ces réseaux à un par projet afin d'appliquer efficacement le contrôle des accès.

Sécuriser votre périmètre

Dans Google Cloud, vous pouvez utiliser différentes méthodes pour segmenter et sécuriser votre périmètre cloud, y compris des pare-feu et VPC Service Controls.

Utilisez le VPC partagé pour créer un déploiement de production qui vous donne un seul réseau partagé et qui isole les charges de travail dans des projets individuels pouvant être gérés par différentes équipes. Le VPC partagé permet un déploiement, une gestion et un contrôle centralisés des ressources réseau et de sécurité réseau sur plusieurs projets. Un VPC partagé comprend des projets hôte et de service qui effectuent les opérations suivantes :

• Un projet hôte contient les ressources réseau et de sécurité réseau telles que les réseaux VPC, les sous-réseaux, les règles de pare-feu et la connectivité hybride.
• Un projet de service est associé à un projet hôte. Il vous permet d'isoler les charges de travail et les utilisateurs au niveau du projet en utilisant Identity and Access Management (IAM), tout en partageant les ressources réseau du projet hôte géré de manière centralisée.

Définissez des stratégies et des règles de pare-feu au niveau de l'organisation, du dossier et du réseau VPC. Vous pouvez configurer des règles de pare-feu pour autoriser ou refuser le trafic vers ou depuis des instances de VM. Pour obtenir des exemples, consultez les sections Exemples de stratégies de pare-feu réseau global et régional et Exemples de stratégies de pare-feu hiérarchique. Outre la définition de règles basées sur des adresses IP, des protocoles et des ports, vous pouvez gérer le trafic et appliquer des règles de pare-feu en fonction du compte de service utilisé par une instance de VM ou à l'aide de tags sécurisés.

Pour contrôler le déplacement des données dans les services Google et configurer une sécurité périmétrique basée sur le contexte, envisagez d'utiliser VPC Service Controls. VPC Service Controls offre un niveau de sécurité supplémentaire pour les services Google Cloud, indépendamment des règles et stratégies de pare-feu IAM et VPC. Par exemple, VPC Service Controls vous permet de configurer des périmètres entre des données confidentielles et non confidentielles afin d'appliquer des contrôles permettant d'éviter l'exfiltration de données.

Les règles de sécurité Google Cloud Armor vous permettent d'autoriser, de refuser ou de rediriger les requêtes vers votre équilibreur de charge d'application externe à la périphérie de Google Cloud, aussi près que possible de la source du trafic entrant. Ces stratégies empêchent le trafic indésirable de consommer des ressources ou d'entrer dans votre réseau.

Utilisez le proxy Web sécurisé pour appliquer des règles précises de contrôle des accès à votre trafic Web de sortie et pour surveiller l'accès aux services Web non approuvés.

Inspecter le trafic réseau

Vous pouvez utiliser Cloud Intrusion Detection System (Cloud IDS) et la mise en miroir de paquets pour vous aider à garantir la sécurité et la conformité des charges de travail exécutées dans Compute Engine et Google Kubernetes Engine (GKE).

Utilisez Cloud IDS pour obtenir une visibilité sur le trafic entrant et sortant de vos réseaux VPC. Cloud IDS crée un réseau appairé géré par Google qui dispose de VM en miroir. Les technologies de protection contre les menaces Palo Alto Networks mettent en miroir et inspectent le trafic. Pour plus d'informations, consultez la Présentation de Cloud IDS.

La mise en miroir de paquets clone le trafic de certaines instances de VM spécifiées dans votre réseau VPC et le transfère pour le collecter, le conserver et l'examiner. Une fois que vous avez configuré la mise en miroir de paquets, vous pouvez utiliser Cloud IDS ou des outils tiers pour collecter et inspecter le trafic réseau à grande échelle. Ce type d'inspection permet de détecter les intrusions et de surveiller les performances des applications.

Utiliser un pare-feu d'application Web

Pour les applications et les services Web externes, vous pouvez activer Google Cloud Armor pour fournir une protection contre le déni de service distribué (DDoS) et des fonctionnalités de pare-feu d'application Web (WAF). Google Cloud Armor est compatible avec les charges de travail Google Cloud exposées à l'aide de l'équilibrage de charge HTTP(S) externe, de l'équilibrage de charge proxy TCP ou de l'équilibrage de charge proxy SSL.

Google Cloud Armor est proposé en deux niveaux de service : Standard et Managed Protection Plus. Pour tirer pleinement parti des fonctionnalités avancées de Google Cloud Armor, vous devez investir dans Managed Protection Plus pour vos principales charges de travail.

Automatiser le provisionnement de l'infrastructure

L'automatisation vous permet de créer une infrastructure immuable, ce qui signifie qu'elle ne peut plus être modifiée après le provisionnement. Cette mesure permet à votre équipe chargée des opérations de bénéficier d'un état sain connu, d'effectuer un rollback rapide et de résoudre les problèmes. Pour l'automatisation, vous pouvez utiliser des outils tels que Terraform, Jenkins et Cloud Build.

Pour vous aider à créer un environnement utilisant l'automatisation, Google Cloud fournit une série de plans de sécurité qui s'appuient sur le plan de base d'entreprise. Le plan de sécurité de base présente la conception rigoureuse de Google pour un environnement d'application sécurisé. Il décrit étape par étape comment configurer et déployer votre parc Google Cloud. En suivant les instructions et les scripts du plan de sécurité de base, vous pouvez configurer un environnement conforme à nos bonnes pratiques et principes de sécurité. Vous pouvez vous appuyer sur ce plan en utilisant des plans supplémentaires ou en concevant votre propre automatisation.

Pour en savoir plus sur l'automatisation, consultez la page Utiliser un pipeline CI/CD pour les workflows de traitement des données.

Surveiller le réseau

Surveiller le réseau et le trafic en utilisant la télémétrie

Les journaux de flux VPC et la journalisation des règles de pare-feu offrent une visibilité en temps quasi réel sur le trafic et l'utilisation du pare-feu dans votre environnement Google Cloud. Par exemple, la journalisation des règles de pare-feu consigne le trafic vers et depuis les instances de VM Compute Engine. Lorsque vous combinez ces outils avec Cloud Logging et Cloud Monitoring, vous pouvez suivre et visualiser le trafic et les modèles d'accès puis créer des alertes afin d'améliorer la sécurité opérationnelle de votre déploiement.

Firewall Insights vous permet d'examiner les règles de pare-feu correspondant aux connexions entrantes et sortantes, et de déterminer si les connexions ont été autorisées ou refusées. La fonctionnalité de règles bloquées vous aide à ajuster la configuration de votre pare-feu en vous indiquant les règles qui ne sont jamais déclenchées car une autre règle est toujours déclenchée en premier.

Utilisez Network Intelligence Center pour examiner les performances de votre topologie et de votre architecture réseau. Vous pouvez obtenir des insights précis sur les performances réseau et optimiser votre déploiement afin d'éliminer les goulots d'étranglement dans votre service. Les tests de connectivité vous fournissent des insights sur les règles de pare-feu et les stratégies appliquées au chemin réseau.

Pour en savoir plus sur la surveillance, consultez la page Mettre en œuvre la journalisation et les contrôles de détection.

Étape suivante

Pour en savoir plus sur la sécurité des réseaux, consultez les ressources suivantes :

• Appliquer des contrôles de sécurité des données (document suivant de cette série)
• Bonnes pratiques et architectures de référence pour la conception de VPC
• Rôles IAM pour l'administration de VPC Service Controls
• Intégration en tant que partenaire Security Command Center
• Identifier les failles et les menaces dans Security Command Center
• Mise en miroir de paquets : visualisez et protégez votre réseau cloud
• Utiliser la mise en miroir de paquets pour détecter les intrusions
• Utiliser la mise en miroir de paquets avec une solution IDS partenaire