Protéger les données au repos

Ce document décrit les règles de chiffrement des données au repos dans Cloud Monitoring et vous explique comment vous assurer que les données client sensibles sont protégées.

Ce document est destiné aux clients qui doivent respecter les exigences de sécurité des données.

Chiffrement des données au repos

Toutes les données au repos dans Cloud Monitoring sont chiffrées à l'aide du chiffrement de clé publique/privée géré par Google, comme décrit dans la section Chiffrement au repos dans Google Cloud.

Cloud Monitoring n'est pas compatible avec l'utilisation de clés de chiffrement gérées par le client (CMEK, customer-managed encryption keys) pour protéger les données au repos. Par défaut, Monitoring ne stocke pas de données sensibles et n'est pas destiné à être utilisé pour les informations personnelles ni pour d'autres contenus client privés. Monitoring vous permet de stocker des données d'activité utilisateur agrégées et non identifiables, ou des informations agrégées basées sur des événements de deuxième ordre, telles que le nombre de requêtes et d'autres métriques semblables.

Cependant, il existe des emplacements dans Monitoring où vous pouvez insérer par inadvertance des données client sensibles. Étant donné que Cloud Monitoring stocke les métadonnées et les libellés de ressources, les données client peuvent entrer dans Monitoring lorsque vous nommez des configurations ou effectuez des actions de métadonnées telles que l'ajout de libellés à une ressource, l'annotation d'une instance de VM ou le stockage de ressources personnalisées à l'aide de Définitions de ressources personnalisées dans Google Kubernetes Engine.

Le reste de ce document décrit les points d'insertion et explique comment rechercher ces données.

Points d'insertion possibles

Le tableau suivant décrit les points où des données sensibles pourraient être envoyées vers Cloud Monitoring.

	Données générées par Google comme les métriques définies par le système et les tableaux de bord intégrés	Données générées par les clients telles que les métriques personnalisées ou basées sur les journaux et tableaux de bord personnalisés
Étiquettes de ressource	Valeurs dérivées des données client, telles que le nom de l'instance de VM, ou indépendantes des données client, telles que le numéro de projet	Valeurs contenant des données sensibles, par exemple des noms de matériel non encore publié
Libellés de métriques	Valeurs dérivées des données client, telles que le nom de l'instance de VM, ou indépendantes des données client, telles que le numéro de projet	Les clés, par exemple, qui montrent qu'il existe une certaine dimension d'un logiciel Valeurs contenant des données sensibles, par exemple, des noms de matériel non encore publié
Points de données dans des séries temporelles	Aucune action possible. Ne peuvent pas être masqués	Les séries temporelles dans les métriques définies par l'utilisateur (métriques personnalisées et basées sur les journaux) peuvent contenir des données client sensibles si vos applications les collectent intentionnellement.
Descripteurs de métriques	Aucune action possible. Ne peuvent pas être masqués	Noms à afficher Descriptions Les clés de libellés, par exemple, qui indiquent qu'une certaine dimension d'un logiciel existe
Règles d'alerte	Aucune action possible. Ne peuvent pas être masqués	Noms à afficher des règles et des conditions intégrées Clés de libellés et valeurs utilisées pour filtrer les alertes sur certaines séries temporelles Informations fournies sous forme de documentation Si vous disposez de règles basées sur des objectifs de niveau de service, leur configuration peut inclure les éléments suivants : Nom à afficher Clés et valeurs de libellés spécifiées par l'utilisateur
Tableaux de bord	Aucune action possible. Ne peuvent pas être masqués	Noms à afficher Texte dans les éléments du tableau de bord Filtres et autres dimensions de requête utilisés pour sélectionner les données de séries temporelles pour les graphiques et d'autres éléments du tableau de bord
Canaux de notification	Aucune action possible. Ne peuvent pas être masqués	Noms à afficher Descriptions Libellés et valeurs utilisés pour définir les canaux
Groupes de ressources	Aucune action possible. Ne peuvent pas être masqués	Noms à afficher Filtres utilisés pour désigner les membres d'un groupe
Tests de disponibilité	Aucune action possible. Ne peuvent pas être masqués	Noms à afficher Adresses IP, chemins Toutes les chaînes de mise en correspondance de contenu facultatives
Champs d'application des métriques	Non applicable	Métadonnées uniquement

Protéger les métadonnées sensibles

Si vous souhaitez que toutes les données soient protégées par des clés de chiffrement gérées par le client, vous ne devez pas ajouter d'informations sensibles dans les configurations ou les métadonnées des ressources dans Google Cloud. Si des données sensibles doivent être utilisées dans des configurations de ressources, des métadonnées de ressources ou des valeurs de libellés, nous vous recommandons de les protéger à l'aide d'identifiants masqués dans Google Cloud et d'une table de mappage externe à Google Cloud.

Si vous envoyez des données de séries temporelles sensibles à Monitoring, le seul moyen de vous assurer que les données sont supprimées consiste à supprimer votre projet Google Cloud. Sinon, les données de séries temporelles ne sont supprimées qu'après avoir atteint la limite de conservation des données, qui est actuellement de 24 mois pour les métriques définies par l'utilisateur.

Inspecter les données pour assurer la conformité

Vous pouvez inspecter manuellement vos données dans Cloud Monitoring pour vous assurer qu'elles répondent à vos normes de sécurité.

Données de configuration

Pour vous assurer que les libellés et les filtres utilisés dans les artefacts de configuration tels que les règles d'alerte sont masqués, vous pouvez récupérer et inspecter les données de configuration. Inspectez les éléments suivants:

• Les règles d'alerte, comme décrit dans Répertorier et obtenir des règles d'alerte. Les règles d'alerte basées sur des objectifs de niveau de service comportent des filtres faisant référence au SLO, par exemple:

  filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE_ID/serviceLevelObjectives/SLO_ID")
  

  Vous pouvez récupérer la configuration du SLO en fournissant le nom complet du SLO à partir du filtre vers la méthode serviceLevelObjects/get.

• Canaux de notification, comme décrit dans Répertorier les canaux de notification d'un projet.

• Configurations de tests de disponibilité, comme décrit dans la section Gérer les tests de disponibilité.

• Tableaux de bord personnalisés, comme décrit dans Répertorier les tableaux de bord.

• Groupes de ressources, à l'aide de la méthode groups.list.

Données de métriques

Pour inspecter les données de métriques, vous devez prendre en compte à la fois les descripteurs de métrique pour les métriques définies par l'utilisateur et les données de séries temporelles écrites par rapport à ces descripteurs.

Descripteurs de métriques

Pour vous assurer que les noms à afficher, les descriptions et les clés de libellé des descripteurs de métriques sont correctement obscurcis, inspectez les descripteurs, comme décrit dans la section Lister les descripteurs de métrique. Pour rechercher spécifiquement des métriques basées sur les journaux et des métriques personnalisées, utilisez les filtres suivants:

• Pour les métriques personnalisées: metric.type = starts_with("custom.googleapis.com")
• Pour les métriques basées sur les journaux: metric.type = starts_with("logging.googleapis.com/user")

Données de séries temporelles

Pour vous assurer que les données de séries temporelles sont correctement masquées, récupérez-les et inspectez les valeurs des libellés de métriques, de ressources et d'autres données stockées. Accordez une attention particulière aux données de séries temporelles collectées par des métriques personnalisées ou basées sur les journaux. Pour en savoir plus sur la récupération des données de séries temporelles, consultez la section Récupérer des données de séries temporelles.