Sécurité à grande échelle : 10 nouveaux contrôles de la gestion et de la sécurité
Swati Sharma
Product Manager, Google Cloud
Jaisen Mathai
Group Product Manager, Google Cloud
Compte tenu de l'augmentation du nombre de travailleurs à distance, il est indispensable d'assurer la sécurité des outils qu'ils utilisent pour rester productifs. Plus tôt cette année, nous avons renforcé la sécurité pour nos clients et amélioré l'efficacité de la protection contre les menaces.
Aujourd'hui, nous annonçons le lancement de nouvelles fonctionnalités avancées qui offrent des contrôles puissants, des outils d'automatisation et une gestion simplifiée de la sécurité à grande échelle dans Google Workspace et Google Cloud Platform.
Extensibilité via des API
Commençons par l'extensibilité dont vous pouvez disposer via des API avec le lancement en disponibilité générale de l'API Cloud Identity Groups et de l'accès à l'API de comptes de service pour les clients Cloud Identity. Nous savons que certains clients Google Cloud utilisent souvent des groupes sans être des administrateurs Google Workspace. C'est pourquoi nous avons développé une fonctionnalité d'accès programmatique permettant de gérer les groupes sans disposer du rôle d'administrateur avec l'API Cloud Identity Groups. Les comptes de service et les utilisateurs non administrateurs bénéficient ainsi d'un accès en tant que propriétaires et gestionnaires des groupes.
De plus, vous pouvez gérer les groupes de façon programmatique avec des comptes de service sans avoir à accorder une délégation au niveau du domaine ni à utiliser l'emprunt d'identité d'administrateur grâce à l'accès à l'API de comptes de service. En parallèle de cette fonctionnalité, les comptes de service en tant que membres, accessibles à tous les utilisateurs, vous permettent d'utiliser de façon native les comptes de service sans modifier les paramètres des groupes et vous indiquent si un membre possède un compte de service. Ces fonctionnalités offrent également davantage de visibilité sur les opérations effectuées par les comptes de service. En effet, ces comptes apparaissent désormais dans les journaux d'audit comme des acteurs, et non plus comme des utilisateurs avec une identité empruntée via la délégation au niveau du domaine.
"Avant que l'accès aux API sans délégation au niveau du domaine soit possible, nous avions besoin de nombreux comptes administrateur de groupes pour gérer la capacité. Nous pouvons désormais limiter l'accès aux utilisateurs qui en ont vraiment besoin et ainsi renforcer notre stratégie de sécurité." – Woolworths
De plus, nous avons ajouté une API Count, disponible pour tous utilisateurs, à l'API Vault de Google Workspace. Cette API vous permet d'afficher le nombre de messages, de fichiers ou d'autres éléments de données correspondant à une requête de recherche. Comme cette API vous aide à estimer la taille d'une exportation, il y a plus de chances qu'elle s'effectue avec succès, car vous êtes en mesure de limiter les erreurs potentielles liées à sa taille.
Automatisation des adhésions aux groupes pour plus de simplicité et de rapidité
Nos nouveaux outils d'automatisation des adhésions aux groupes font gagner du temps aux clients Cloud Identity et leur facilitent la tâche. Vous pouvez intégralement automatiser les adhésions grâce aux groupes dynamiques, désormais disponibles en version bêta. En utilisant simplement les bons attributs utilisateur dans une requête d'adhésion, vous pouvez créer des groupes dont les adhésions sont automatiquement mises à jour.
Nous lançons également la version bêta de la fonctionnalité d'expiration de l'adhésion dans Cloud Identity. Elle vous permet de définir un délai d'expiration pour l'adhésion à un groupe. Une fois le délai écoulé, l'utilisateur est automatiquement exclu du groupe. Cette fonctionnalité est particulièrement utile pour permettre aux ingénieurs de déboguer une application en production pendant une durée limitée, ou pour accorder temporairement l'accès aux ressources à des prestataires ou fournisseurs, par exemple.
Contrôles renforçant la sécurité
Nous souhaitons que nos clients bénéficient de tous les contrôles nécessaires pour adapter les paramètres de sécurité aux besoins de leur organisation. Voici les solutions que nous vous offrons pour atteindre vos objectifs de sécurité lorsque vous gérez des groupes.
Grâce aux groupes de sécurité dans Cloud Identity, désormais disponibles en version bêta, vous pouvez attribuer des libellés de sécurité aux groupes afin de distinguer ceux utilisés pour le contrôle des accès et ceux utilisés uniquement pour les e-mails ou les autres communications. Ces libellés permettent de vous assurer qu'aucun groupe externe à votre organisation ni groupe d'adresses e-mail ne figurent dans les groupes de sécurité.
De plus, au mois de mai, nous avons lancé en version bêta l'onglet Groupes dans la console GCP pour vous permettre de mieux contrôler la gestion des groupes. Vous pouvez ainsi plus facilement créer des groupes, ajouter des utilisateurs et accorder des autorisations. Pour l'essayer, cliquez ici.
Visibilité et insights pour définir de façon stratégique vos priorités en matière de sécurité
Il est crucial de disposer d'une visibilité sur les accès et les données au sein de votre organisation pour pouvoir la protéger. Pour aller plus loin, vous devez collecter des insights exploitables pour définir de façon stratégique vos priorités en matière de sécurité.
Commençons par les gains de visibilité offerts par les API portant sur les adhésions indirectes et leur hiérarchie, désormais disponibles en version bêta dans Cloud Identity. Grâce à cette fonctionnalité permettant de visualiser facilement les adhésions aux groupes, vous pouvez afficher tous les membres directs et indirects d'un groupe, afficher toutes les adhésions directes et indirectes d'un utilisateur, et identifier les liens entre un utilisateur et un groupe. De plus, avec la nouvelle API de vérification, vous pouvez déterminer si un compte fait partie d'un groupe donné ou non. Vous obtiendrez toutes les informations nécessaires pour créer des visualisations des hiérarchies et structures complexes de vos groupes. Cette visibilité sur les adhésions aux groupes peut vous aider à décider quels utilisateurs ajouter ou retirer.
Pour améliorer votre visibilité, vous pouvez également collecter des insights exploitables qui vous aideront à garantir la sécurité des données de votre organisation. Nous sommes heureux d'annoncer le lancement en disponibilité générale des insights sur la protection des données au cours des prochaines semaines. Ces insights vous permettront d'identifier les types de données les plus sensibles de votre organisation. En plus de pouvoir simplement afficher les données sensibles gérées au sein de votre organisation, vous pourrez hiérarchiser vos mesures de protection des données et ainsi concentrer vos efforts. Les insights sur la protection des données seront disponibles pour les clients Google Workspace Business et Google Workspace Enterprise.
Avec ces outils, nous permettons aux organisations de gérer la sécurité à grande échelle plus efficacement et de manière sécurisée, tout en leur faisant gagner du temps et économiser de l'énergie. Pour mieux cerner les dernières tendances concernant la sécurité dans le cloud, regardez le dernier volet de notre série Google Cloud Security Talks, désormais disponible à la demande.