Cette page a été traduite par l'API Cloud Translation.

Accès privilégié dans Google Cloud

Ce contenu a été mis à jour pour la dernière fois en février 2025 et représente la situation au moment où il a été rédigé. Il est possible que les règles et les systèmes de sécurité de Google changent par la suite, car nous améliorons continuellement la protection de nos clients.

Ce document décrit les fonctionnalités et les produits qui vous aident à contrôler l'accès du personnel Google à vos données client. Comme défini dans les Conditions d'utilisation deGoogle Cloud , les données client sont des données fournies par les clients ou les utilisateurs finaux à Google via les services dans le cadre de leur compte.

Présentation des accès privilégiés

En règle générale, vous et les services que vous activez sont les seuls à avoir accès à vos données client. Google CloudDans certains cas, le personnel Google peut avoir besoin d'accéder à vos données pour vous aider à bénéficier d'un service contractuel (par exemple, si vous avez besoin d'assistance ou de récupérer après une panne). Ce type d'accès est appelé accès privilégié.

Les employés disposant de droits d'accès élevés qui reçoivent temporairement ou acquièrent des autorisations élevées présentent un risque interne plus élevé. Notre approche de l'accès privilégié vise à réduire le nombre de vecteurs d'attaque possibles. Par exemple, nous utilisons les contrôles de sécurité suivants:

Schémas d'authentification redondants
Parcours d'accès aux données limités
Journalisation et alerte des actions dans nos systèmes
Autorisations réglementées

Cette approche nous aide à contrôler et à détecter les attaques internes, à limiter l'impact des incidents et à réduire les risques pour vos données.

La stratégie de gestion des accès privilégiés dans Google Cloud limite la possibilité pour le personnel Google de consulter ou de modifier les données client. DansGoogle Cloud, les limites d'accès privilégiés font partie intégrante du fonctionnement de nos produits.

Pour en savoir plus sur les cas où le personnel Google peut accéder à vos données, consultez l'Avenant relatif au traitement des données dans le cloud.

Philosophie de l'accès privilégié

La philosophie d'accès privilégié de Google repose sur les principes directeurs suivants:

Les restrictions d'accès doivent être basées sur des rôles et des approbations multiparties : par défaut, le personnel Google n'a pas accès au système. Lorsqu'un accès est accordé, il est temporaire et ne dépasse pas ce qui est nécessaire pour accomplir son rôle. L'accès aux données client, les opérations critiques sur les systèmes de production et les modifications du code source sont contrôlés par des systèmes de vérification manuels et automatisés. Le personnel Google ne peut pas accéder aux données client sans qu'une autre personne approuve la demande. Le personnel ne peut accéder qu'aux ressources nécessaires à son travail et doit fournir une justification valide pour accéder aux données client. Pour en savoir plus, consultez la section Comment Google protège ses services de production.
Les charges de travail doivent être protégées de bout en bout: avec le chiffrement en transit, le chiffrement au repos et l'informatique confidentielle pour le chiffrement en cours d'utilisation, Google Cloud peut fournir un chiffrement de bout en bout des charges de travail des clients.
La journalisation et l'audit sont continus: l'accès du personnel Google aux données client est consigné dans les journaux, et les systèmes de détection des menaces effectuent des audits en temps réel, alertant l'équipe de sécurité lorsque les entrées de journal correspondent à des indicateurs de menace. Les équipes de sécurité internes évaluent les alertes et les journaux pour identifier et examiner les activités anormales, limitant ainsi la portée et l'impact de tout incident. Pour en savoir plus sur la gestion des incidents, consultez la section Processus de gestion des incidents liés aux données.
L'accès doit être transparent et inclure des commandes client: vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour gérer vos propres clés de chiffrement et contrôler l'accès à celles-ci. De plus, Access Transparency garantit que tous les accès privilégiés sont justifiés par des raisons professionnelles enregistrées. Access Approval vous permet d'accepter ou de refuser les demandes d'accès du personnel Google à certains ensembles de données.

Accès du personnel Google aux données client

Par défaut, le personnel Google n'a pas accès aux Google Cloud données client.

Pour obtenir cet accès, le personnel Google doit remplir les conditions suivantes:

être membre des listes de contrôle d'accès (LCA) concernées ;
Lisez et acceptez régulièrement les règles d'accès aux données de Google.
Utilisez un appareil approuvé.
Connectez-vous avec l'authentification multifacteur à l'aide d'une clé de sécurité Titan, ce qui réduit le risque de piratage des identifiants.
Accès aux outils qui évaluent la justification fournie (par exemple, la demande d'assistance ou l'ID du problème), le rôle de l'utilisateur et le contexte.
Si les outils l'exigent, obtenez l'autorisation d'un autre membre du personnel Google qualifié.
Si vous vous êtes inscrit à Access Approval, obtenez votre approbation.

Les différents rôles du personnel nécessitent différents niveaux d'accès. Par exemple, les rôles d'assistance ont un accès limité aux données client directement liées à une demande d'assistance client. Les rôles d'ingénieur peuvent nécessiter des droits système supplémentaires pour résoudre des problèmes plus complexes liés à la fiabilité des services ou au déploiement de services.

Lorsque Google fournit ses services en collaboration avec des tiers (tels que des fournisseurs de service client), nous évaluons ces tiers pour nous assurer qu'ils offrent un niveau de sécurité et de confidentialité approprié. Google Cloud publie une liste de tous les sous-traitants qui sont utilisés pour fournir le service.

Pourquoi le personnel Google peut-il accéder aux données des clients ?

Bien que Google Cloud soit conçu pour automatiser, réduire ou éliminer le besoin d'accéder aux données client par le personnel Google, il est possible que le personnel Google y accède dans certains cas. Il peut s'agir d'une assistance demandée par le client, d'une panne ou d'un dysfonctionnement de l'outil, de demandes légales de tiers et d'examens initiés par Google.

Assistance initiée par le client

L'accès du personnel Google aux données client dans les services qui utilisent Access Transparency est généralement le résultat d'événements initiés par le client, par exemple lorsqu'il contacte le service client. Lorsque vous contactez le service client pour résoudre un problème, il n'a accès qu'aux données peu sensibles. Par exemple, si vous avez perdu l'accès à un bucket, le personnel du service client n'a accès qu'aux données peu sensibles, comme le nom du bucket.

Panne ou défaillance de l'outil

En cas d'indisponibilité ou de défaillance d'un outil, le personnel Google peut accéder aux données client pour effectuer une sauvegarde ou une récupération si nécessaire. Dans ce cas, le personnel Google utilise des outils qui peuvent accéder directement aux données client pour optimiser l'efficacité et résoudre le problème dans les meilleurs délais. Ces outils enregistrent cet accès et les justifications fournies par les ingénieurs. L'accès est également audité et consigné par l'équipe de réponse de sécurité de Google. Les services Google Cloudcompatibles génèrent des journaux Access Transparency que vous pouvez consulter en cas d'indisponibilité. En cas d'indisponibilité, les ingénieurs ne peuvent pas contourner la liste d'autorisation de la ressource. Toutefois, ils peuvent accéder aux données sans votre approbation.

Réquisitions judiciaires tierces

Les demandes légales de tiers sont rares, et seule l'équipe juridique peut générer une justification juridique valide pour l'accès. L'équipe juridique examine la demande pour s'assurer qu'elle respecte les obligations légales et les règles de Google, vous en informe lorsque la loi l'y autorise et examine les objections à la divulgation des données dans la mesure où la loi l'y autorise. Pour en savoir plus, consultez la page Demandes gouvernementales concernant les données des clients Cloud (PDF).

Examen initié par Google

Les avis initiés par Google sont également rares. Lorsqu'ils se produisent, ils doivent s'assurer que les données client sont sécurisées et qu'elles n'ont pas été compromises. Les principales raisons de ces examens sont les problèmes de sécurité, la fraude, l'utilisation abusive ou les audits de conformité. Par exemple, si des détecteurs automatiques de minage de bitcoins détectent qu'une VM est utilisée à cette fin, Google examine le problème et confirme qu'un logiciel malveillant sur un appareil VM épuise la capacité de la VM. Google supprime le logiciel malveillant afin que l'utilisation des VM revienne à la normale.

Comment Google contrôle et surveille l'accès aux données client

Les contrôles internes de Google incluent les éléments suivants:

Systèmes de contrôle omniprésents à l'échelle de l'infrastructure pour empêcher tout accès non autorisé
Détection et correction des accès non autorisés grâce à des contrôles continus
Surveillance, alerte en cas de non-respect et audits réguliers par une équipe d'audit interne et des auditeurs tiers indépendants

Pour en savoir plus sur la façon dont Google sécurise l'infrastructure physique, consultez la présentation de la conception de la sécurité sur l'infrastructure de Google.

Commandes à l'échelle de l'infrastructure

Google a conçu son infrastructure en mettant la sécurité au cœur de ses préoccupations. Étant donné que l'infrastructure mondiale de Google est assez homogène, Google peut utiliser une infrastructure automatisée pour mettre en place des contrôles et limiter l'accès privilégié. Les sections suivantes décrivent certains des contrôles qui aident à mettre en œuvre nos principes d'accès privilégié.

Authentification forte pour tous les accès

Google applique des exigences d'authentification strictes pour l'accès des utilisateurs (comme un employé) et des rôles (comme un service) aux données. Les tâches exécutées dans notre environnement de production utilisent ces identités pour accéder aux entrepôts de données ou aux méthodes d'appel de procédure à distance (RPC) d'autres services. Plusieurs jobs peuvent être exécutés avec la même identité. Notre infrastructure limite la possibilité de déployer ou de modifier des tâches possédant une identité particulière aux personnes responsables de l'exécution du service, généralement nos ingénieurs en fiabilité des sites (SRE). Lorsqu'une tâche démarre, elle est provisionnée avec des identifiants chiffrés. La tâche utilise ces identifiants pour prouver son identité lors de demandes à d'autres services (au moyen d'Application Layer Transport Security (ALTS)).

Accès contextuel

Pour assurer une sécurité "zéro confiance", l'infrastructure de Google utilise le contexte pour authentifier et autoriser les utilisateurs et les appareils. Les décisions d'accès ne reposent pas exclusivement sur des identifiants statiques ou sur le fait qu'elles proviennent ou non d'un intranet d'entreprise. Le contexte complet d'une requête (identité de l'utilisateur, localisation, propriété/configuration de l'appareil et règles précises d'accès, par exemple) est évalué afin de déterminer sa validité et d'assurer la protection contre les tentatives d'hameçonnage et les logiciels malveillants voleurs d'identifiants.

En utilisant le contexte, chaque demande d'authentification et d'autorisation doit utiliser des mots de passe sécurisés avec des jetons de sécurité ou d'autres protocoles d'authentification à deux facteurs. Les utilisateurs authentifiés et les appareils approuvés bénéficient d'un accès temporaire et limité aux ressources nécessaires. Les inventaires des machines sont gérés de manière sécurisée, et l'état de chaque appareil connecté (par exemple, les mises à jour de l'OS, les correctifs de sécurité, les certificats de l'appareil, les logiciels installés, les analyses antivirus et l'état du chiffrement) est évalué pour détecter les risques de sécurité potentiels.

Par exemple, Chrome Enterprise Premium permet de s'assurer que les identifiants des employés ne sont pas volés ni utilisés de manière abusive, et que les appareils connectés ne sont pas compromis. En offrant un contrôle d'accès non plus au niveau du périmètre réseau, mais au niveau des utilisateurs et appareils individuels, Chrome Enterprise Premium permet également au personnel Google de travailler de façon plus sécurisée où qu'il soit, sans avoir besoin d'un VPN.

Examen et autorisation de tous les logiciels de production

Notre infrastructure est conteneurisée à l'aide d'un système de gestion de clusters appelé Borg. L'autorisation binaire pour Borg garantit que les logiciels de production sont examinés et approuvés avant d'être déployés, en particulier lorsque notre code peut accéder à des données sensibles. L'autorisation binaire pour Borg permet de s'assurer que les déploiements de code et de configuration respectent certaines normes, et avertit les propriétaires de services lorsque ces exigences ne sont pas remplies. En exigeant que le code réponde à certaines normes et pratiques de gestion du changement avant d'accéder aux informations sur les utilisateurs, l'autorisation binaire pour Borg réduit le risque que le personnel Google (ou un compte compromis) agisse seul pour accéder aux informations sur les utilisateurs de manière automatisée.

Accéder aux fichiers journaux

L'infrastructure Google consigne l'accès aux données et les modifications de code. Les types de journalisation incluent les suivants:

Journaux client: disponibles avec Cloud Audit Logs.
Journaux d'accès administrateur: disponibles avec Access Transparency.
Journaux d'intégrité du déploiement: journaux internes sur les exceptions surveillés par une équipe de sécurité centrale dédiée à l'audit de l'accès aux données client. La surveillance des exceptions permet de protéger les données sensibles et d'améliorer la fiabilité de la production. La surveillance des exceptions permet de s'assurer que le code source non examiné ou non envoyé ne s'exécute pas dans des environnements privilégiés, que ce soit par accident ou à la suite d'une attaque délibérée.

Détection et réponse aux incidents

Pour détecter et répondre aux cas suspects d'accès non autorisé, Google utilise des équipes d'experts internes et des contrôles manuels et automatisés qui combinent le machine learning, des pipelines de traitement de données avancés et des incidents d'intelligence sur les menaces.

Développement de signaux

Le renseignement sur les menaces est au cœur des capacités de détection et de réponse de Google. Il est renforcé par l'analyse continue des incidents passés, du trafic réseau, des données internes, des journaux d'accès au système, des modèles de comportement anormaux, des résultats des exercices de sécurité offensifs et de nombreuses autres alertes propriétaires. Ces données sont analysées par des équipes dédiées qui produisent une base de données dynamique de signaux, ou indicateurs de menace, qui incluent l'ensemble de Google. Les équipes d'ingénierie utilisent des indicateurs de menace pour développer des systèmes de détection spécialisés afin de surveiller les systèmes internes à la recherche d'activités malveillantes, d'alerter le personnel approprié et d'implémenter des réponses automatisées (par exemple, en révoquant l'accès à une ressource).

Détection des menaces

Les menaces sont principalement détectées en analysant les journaux et en faisant correspondre les entrées de journal aux indicateurs de menace. Grâce à l'authentification forte, Google peut distinguer les événements humains, les événements de service et les événements d'usurpation d'identité de service dans les journaux afin de prioriser les investigations sur l'accès humain réel. Les activités impliquant l'accès aux données utilisateur, au code source et aux informations sensibles sont enregistrées, et une justification ou une exception métier est requise. Les menaces peuvent inclure une personne qui tente de prendre des mesures unilatérales sur des systèmes sensibles ou d'accéder aux données utilisateur sans motif commercial valable. Des procédures d'alerte sont définies pour ces types d'activités.

l'investigation concernant les incidents ;

Lorsqu'un cas de non-respect des règles est détecté, des équipes de sécurité distinctes des équipes d'ingénierie et d'exploitation de base assurent une surveillance indépendante et mènent une enquête initiale. Les équipes de sécurité effectuent les tâches suivantes:

Examinez les détails de l'incident et déterminez si l'accès était intentionnel, accidentel, causé par un bug ou une mauvaise configuration, ou le résultat de contrôles inadéquats (par exemple, un pirate informatique externe qui vole et utilise les identifiants d'un employé piraté).
Si l'accès est involontaire ou accidentel (par exemple, si le personnel Google n'était pas au courant des protocoles d'accès ou les a enfreints par erreur), les équipes peuvent prendre des mesures immédiates pour résoudre le problème (par exemple, en récupérant la propriété intellectuelle).
En cas de comportement malveillant suspecté, l'équipe de sécurité escalade l'incident et collecte des informations supplémentaires, y compris des journaux de données et d'accès au système, pour déterminer la portée et l'impact de l'incident.
Selon les résultats de cette enquête, l'équipe de sécurité soumet les incidents pour une enquête, une documentation et une résolution supplémentaires, ou, dans des cas extrêmes, les transmet à des autorités externes ou aux forces de l'ordre.

Correction

L'équipe de sécurité utilise les incidents passés pour identifier et résoudre les failles, et améliorer les fonctionnalités de détection. Tous les incidents sont documentés et des métadonnées sont extraites pour identifier les tactiques, techniques et procédures spécifiques à chaque exploitation. L'équipe utilise ces données pour développer de nouveaux indicateurs de menace, renforcer les protections existantes ou demander des fonctionnalités pour améliorer la sécurité.

Services qui surveillent et contrôlent l'accès de Google aux données

Les services Google Cloud suivants vous permettent de contrôler et de visualiser l'accès de Google à vos données.

ServiceGoogle Cloud	Description
Access Approval	Si vous disposez de données hautement sensibles ou restreintes, Access Approval vous permet d'exiger votre approbation avant qu'un administrateur Google autorisé puisse accéder à vos données pour vous aider. Les demandes d'accès approuvées sont consignées dans des journaux Access Transparency associés à la demande d'approbation. Une fois que vous avez approuvé une demande, l'accès doit être correctement autorisé dans Google avant d'être autorisé. Pour obtenir la liste des servicesGoogle Cloud compatibles avec Access Approval, consultez la section Services compatibles.
Access Transparency	Access Transparency consigne l'accès administratif par le personnel Google autorisé lorsqu'il fournit une assistance à votre organisation ou assure la disponibilité du service. Pour obtenir la liste des Google Cloud services compatibles avec Access Transparency, consultez la section Services compatibles.
Assured Workloads	Utilisez Assured Workloads si votre entreprise a besoin d'une assistance régionale dédiée, de programmes réglementaires certifiés (par exemple, FedRAMP ou ITAR) ou de programmes tels que Sovereign Controls for EU. Assured Workloads fournit aux utilisateurs Google Cloud un workflow d'activation pour créer et surveiller la durée de vie des packages de contrôle dont ils ont besoin.
Cloud KMS	Utilisez Cloud KMS avec Cloud EKM pour contrôler vos clés de chiffrement. Cloud KMS avec Cloud EKM vous permet de chiffrer des données à l'aide de clés de chiffrement stockées et gérées dans un système de gestion des clés tiers déployé en dehors de l'infrastructure de Google. Cloud EKM vous permet de séparer vos données au repos de vos clés de chiffrement tout en profitant de la puissance du calcul et de l'analyse cloud.
Informatique confidentielle	Utilisez l'informatique confidentielle pour chiffrer les données utilisées.Google Cloud inclut les services suivants qui permettent l'informatique confidentielle: Confidential VM: activez le chiffrement des données utilisées pour les charges de travail qui utilisent des VM. Nœuds Confidential Google Kubernetes Engine: activez le chiffrement des données utilisées pour les charges de travail qui utilisent des conteneurs. Dataflow confidentiel: permet de chiffrer les données utilisées pour l'analyse de flux et le machine learning. Dataproc confidentiel: activez le chiffrement des données utilisées pour le traitement des données. Espace confidentiel: permet de chiffrer les données utilisées pour l'analyse de données conjointe et le machine learning. Ces services vous permettent de réduire votre zone de confiance afin que moins de ressources aient accès à vos données confidentielles. Pour en savoir plus, consultez la section Implémenter l'informatique confidentielle sur Google Cloud.
Key Access Justifications	Utilisez Key Access Justifications pour la souveraineté et la découverte des données. Key Access Justifications vous fournit une justification chaque fois que vos clés hébergées en externe sont utilisées pour déchiffrer des données. Key Access Justifications nécessite Cloud KMS avec Cloud HSM ou Cloud KMS avec Cloud EKM pour vous offrir un contrôle avancé sur vos données. Vous devez approuver l'accès avant que le personnel Google puisse déchiffrer vos données au repos.

Étape suivante

Pour en savoir plus sur notre engagement en faveur de la protection de la confidentialité des données des clients, consultez Google Cloud et les principes de confidentialité courants.
Pour en savoir plus sur les principes de base des contrôles qui empêchent tout accès administratif non autorisé, consultez la page Présentation des contrôles d'accès administratif.
Pour consulter la liste des justifications professionnelles pour lesquelles le personnel Google peut demander à accéder aux données client, consultez la section Codes de motif de justification.