4 bonnes pratiques pour garantir la confidentialité et la sécurité de vos données dans Cloud Storage

Cloud Storage permet aux entreprises de réduire leurs coûts et leurs charges opérationnelles, d’évoluer plus rapidement et de profiter des autres avantages du cloud computing. En parallèle, les entreprises doivent s'assurer de respecter les exigences de sécurité et de confidentialité afin de limiter les accès et de protéger les informations sensibles.

La sécurité est l'une des préoccupations les plus courantes des entreprises qui migrent leurs données vers le cloud, et l'un des objectifs prioritaires de tous nos produits et solutions. Cloud Storage est une solution simple, fiable et économique pour stocker et récupérer des données à tout moment, quel que soit leur volume. Elle intègre des fonctionnalités de sécurité comme le chiffrement en transit et au repos, et propose différentes options de gestion des clés de chiffrement (gérées par Google, fournies par le client, gérées par le client) ainsi que des modules de sécurité matériels. Google détient l'un des réseaux privés les plus étendus au monde, ce qui limite l'exposition de vos données sur l'Internet public lorsque vous utilisez Cloud Storage.

Bonnes pratiques pour sécuriser vos données avec Cloud Storage

Vous devez planifier la sécurisation de vos données de stockage d'entreprise pour les protéger contre de futures menaces et les préparer à de nouveaux défis. En plus de ses outils de base, Cloud Storage offre diverses fonctionnalités de sécurité comme l'accès uniforme au niveau du bucket, les clés HMAC de compte de service, les conditions IAM, les jetons de délégation et les signatures V4.

Nous voulions vous présenter quelques bonnes pratiques concernant ces fonctionnalités afin de vous aider à sécuriser et à protéger vos données à grande échelle :

N° 1 : Configurez des règles d'administration pour centraliser le contrôle et définir des limites de conformité

Cloud Storage, comme Google Cloud, suit une hiérarchie de ressources. Les buckets contiennent des objets, qui sont associés à des projets, qui sont eux-mêmes liés à des organisations. Vous pouvez également créer des dossiers pour mieux organiser les ressources d'un projet. Les règles d'administration sont des paramètres que vous pouvez configurer au niveau de l'organisation, d'un dossier ou d'un projet pour définir des comportements spécifiques au service.

Voici deux règles d'administration que nous vous conseillons d'activer :

• Partage restreint au domaine : cette règle empêche le partage de contenus avec des personnes externes à votre organisation. Par exemple, si vous essayez de rendre le contenu d'un bucket disponible sur l'Internet public, cette règle bloque l'opération.

• Accès uniforme au niveau du bucket : cette règle simplifie les autorisations et permet de gérer le contrôle des accès à grande échelle. Avec cette règle, un contrôle d'accès uniforme est configuré au niveau de tous les buckets nouvellement créés et régit l'accès à tous les objets sous-jacents.

N° 2 : Utilisez Cloud IAM pour simplifier le contrôle des accès

Cloud Storage propose deux systèmes pour accorder des autorisations d'accès à vos buckets et objets : Cloud IAM et les listes de contrôle d'accès (LCA). Pour qu'un utilisateur puisse accéder à une ressource, seul l'un de ces systèmes doit lui accorder l'autorisation.

Les LCA sont définies au niveau des objets et accordent l'accès à des objets individuels. Plus les objets dans un bucket sont nombreux, plus la charge supplémentaire nécessaire à la gestion des LCA individuelles est importante. Il devient alors difficile d'évaluer le niveau de sécurité de tous les objets stockés dans un bucket. Imaginez par exemple, le nombre d’itérations requises sur des millions d'objets pour savoir si un utilisateur dispose des bonnes autorisations d'accès.

Nous vous conseillons d'utiliser Cloud IAM pour contrôler l'accès à vos ressources. Cloud IAM est un mécanisme uniforme centré sur la plate-forme qui s'applique à l'ensemble de Google Cloud. Il vous permet de gérer le contrôle des accès à vos données Cloud Storage. Lorsque vous activez le contrôle des accès uniforme au niveau du bucket, les LCA des objets sont désactivées, et les stratégies Cloud IAM définies au niveau du bucket sont utilisées pour gérer les accès. Les autorisations accordées au niveau du bucket s'appliquent donc automatiquement à tous les objets qu'il contient.

N° 3 : Optez pour une solution alternative aux LCA si les stratégies IAM ne peuvent pas être utilisées

Nos clients continuent parfois d'utiliser des LCA pour différentes raisons, par exemple avec des architectures multicloud ou pour partager un objet avec un utilisateur spécifique. Cependant, nous vous déconseillons d'utiliser des LCA d'objets pour les utilisateurs finaux.

Optez plutôt pour l'une de ces solutions :

• URL signées : les URL signées vous permettent d'accorder un accès limité dans le temps à vos ressources Cloud Storage. Lorsque vous générez une URL signée, sa chaîne de requête contient des informations d'authentification associées à un compte disposant d'un accès (par exemple, un compte de service). Vous pouvez, par exemple, envoyer une URL à un utilisateur pour l'autoriser à lire un document, et son accès sera révoqué au bout d'une semaine.

• Buckets séparés : réalisez des audits sur vos buckets et identifiez des modèles d'accès. Si vous remarquez qu'un groupe d'objets partage le même ensemble de LCA d'objets, déplacez ces objets dans un bucket séparé afin de pouvoir contrôler l'accès au niveau du bucket.

• Conditions IAM : si vous utilisez les mêmes préfixes dans les noms des objets de votre application, vous pouvez définir des conditions IAM pour segmenter les accès en fonction de ces préfixes.

• Jetons de délégation : vous pouvez utiliser des jetons STS pour accorder un accès limité dans le temps aux buckets Cloud Storage et aux préfixes partagés.

N° 4 : Utilisez des clés HMAC pour les comptes de service, et non pour les comptes utilisateur

Une clé HMAC (Hash-based Message Authentification Code, code d'authentification des messages basé sur le hachage) est un type d'identifiant utilisé pour créer les signatures incluses dans les requêtes envoyées à Cloud Storage. En règle générale, nous conseillons d'utiliser des clés HMAC pour les comptes de service plutôt que pour les comptes utilisateur. Cela permet d'éliminer les problèmes de sécurité et de confidentialité inhérents aux comptes détenus par des utilisateurs individuels, mais également de réduire les risques d'interruption de l'accès au service lorsqu'un compte utilisateur est désactivé (car l'utilisateur quitte le projet ou l'entreprise).  

Pour renforcer davantage la sécurité, nous vous recommandons également :

• de modifier régulièrement vos clés dans le cadre d'une stratégie de rotation ;

• d'accorder aux comptes de service l'accès minimal nécessaire pour effectuer une tâche (conformément au principe du moindre privilège) ;

• de définir des délais d'expiration raisonnables si vous utilisez toujours des signatures V2 (ou migrer vers des signatures V4 qui appliquent automatiquement un délai maximal d'une semaine).

Pour en savoir plus sur Cloud Storage, et découvrir d'autres moyens de sécuriser vos données et d'assurer leur conformité, consultez la documentation sur le contrôle des accès et regardez notre session sur ce sujet sur Cloud Next 2020 : OnAir.