Lorsque les règles de sécurité des plans déployés sont enfreintes, le service Secured Landing Zone détecte ces cas de non-respect et génère des résultats. En fonction de l'état de sécurité identifié, le service Secured Landing Zone déclenche des réponses automatiques qui effectuent des corrections complètes ou partielles, ou une alerte nécessitant une correction manuelle des cas de non-respect des règles.
Lorsque le service Secured Landing Zone est activé pour le plan Entrepôt de données sécurisé, il vérifie les cas de non-respect des règles de sécurité du plan déployé. Lorsqu'une règle de sécurité est enfreinte, le service Secured Landing Zone affiche un résultat. En réponse au résultat, le service Secured Landing Zone effectue les opérations suivantes :
- Pour résoudre tous les problèmes, un playbook de résolution est déclenché afin de restaurer le respect des règles. Le résultat de Security Command Center correspondant est ensuite mis à jour pour afficher les détails de la réponse.
- Pour certains cas de non-respect des règles, un résultat est généré. Ce résultat nécessite des mesures correctives manuelles pour résoudre les cas identifiés. Pour générer des alertes automatiques pour ces résultats, consultez la section Activer les notifications de résultats pour Pub/Sub.
Résultats avec état
Ces résultats correspondent à la configuration et à l'état des failles des ressources, services et données constitutifs au sein du déploiement.| Catégorie | Description du résultat | Étapes suivantes |
|---|---|---|
Domain restricted sharing (DRS) organization policy changed at project level |
Une modification a été apportée à la règle d'administration. Celle-ci limite la modification des stratégies d'autorisation IAM sur les ressources aux seuls membres des domaines spécifiés dans le plan. | Résolution complète
Le paramètre DRS d'origine est automatiquement restauré au niveau du projet. |
|
|
Une augmentation du risque d'exfiltration de données s'est produite au niveau des buckets dans ce projet. En raison de cette violation, l'accès aux objets peut désormais être accordé au niveau d'un objet individuel plutôt que via les autorisations IAM définies au niveau du bucket. | Résolution complète
Le paramètre uniforme d'origine au niveau du bucket est automatiquement restauré au niveau du projet. |
|
|
Une augmentation du risque d'exfiltration de données s'est produite au niveau des buckets dans ce projet. En raison de cette violation, l'accès aux objets peut désormais être accordé au niveau d'un objet individuel plutôt que via les autorisations IAM définies au niveau du bucket. | Résolution complète
Le paramètre uniforme d'origine au niveau du bucket est automatiquement restauré au niveau du projet. |
Detailed audit log mode disabled at project level |
Les informations détaillées sur les requêtes et les réponses pour les opérations Cloud Storage ont été désactivées. Cela pourrait limiter l'exhaustivité des données capturées. La conformité réglementaire de la ressource de stockage peut être affectée. | Résolution complète
La règle d'origine du mode journal d'audit détaillé est automatiquement restaurée au niveau du projet. |
Public bucket exposure |
Toute personne ayant accès à Internet peut rechercher, modifier et exfiltrer des données du bucket et/ou des objets individuels, et contrôler les stratégies IAM de cette ressource. | Résolution complète
Les autorisations AllUsers et AllAuthenticatedUsers sont automatiquement supprimées sur le bucket. |
Public resource exposure |
Toute personne disposant d'un accès Internet peut rechercher, modifier et exfiltrer des données à partir des ressources (telles que BigQuery, Pub/Sub, Cloud Storage, Cloud Key Management Service, ressources Data Catalog) spécifiées dans le plan. | Résolution complète
Les autorisations AllUsers et AllAuthenticatedUsers sont automatiquement supprimées de la ressource. |
Cloud Storage bucket Public Access Prevention (PAP) not enforced |
La règle d'administration empêche l'accès aux ressources de stockage existantes et futures via l'Internet public. Cela permet de désactiver et de bloquer les listes de contrôle d'accès et les autorisations IAM qui accordent l'accès à AllUsers et AllAuthenticatedUsers. | Résolution complète
Le paramètre PAP d'origine est restauré au niveau du projet. |
CMEK disabled or not in use for service that stores data |
Le chiffrement CMEK doit être activé et utilisé pour chaque service dans le déploiement du plan qui stocke des données telles que BigQuery, Pub/Sub et Cloud Storage. | Un résultat est généré.
Vous devez examiner les différences entre la configuration de règle attendue et le cas de non-respect détecté. Solution manuelle Vous pouvez effectuer l'une des actions suivantes :
|
Résultats liés au comportement
Ces résultats correspondent aux contraintes des événements (tels que les actions ou les menaces) qui se produisent au niveau des ressources, services et données déployés.| Catégorie | Description du résultat | Étapes suivantes |
|---|---|---|
Suspicious behavior: Public bucket exposure and bucket logging have been
disabled |
Une combinaison suspecte d'événements s'est produite lorsqu'un bucket a été rendu public et que la journalisation a été désactivée. | Résolution complète
Les autorisations AllUsers et AllAuthenticatedUsers sont automatiquement supprimées sur le bucket. La règle de journalisation des buckets est automatiquement restaurée au niveau du projet. |
Deletion of any resource in a blueprinted deployment |
Détecte une suppression de ressource de plan d'origine. | Un résultat est généré.
Vous devez examiner les différences entre les contraintes attendues et le cas de non-respect détecté. Solution manuelle Vous devez redéployer le plan Terraform d'origine. |
Suspicious behavior: Resource exposed publicly and the resource data
access logging has been disabled. |
Une combinaison suspecte d'événements a été détectée lorsqu'une ressource (telle que Pub/Sub ou Cloud Key Management Service) a été rendue publique en accordant l'autorisation AllUsers et AllAuthenticatedUsers sur la ressource et que la journalisation des accès à ses données a été désactivée. |
Résolution partielle Les autorisations AllUsers et AllAuthenticatedUsers sont automatiquement supprimées de la ressource. Vous devez examiner les différences entre la configuration de règle attendue et le cas de non-respect détecté. Solution manuelle Vous pouvez effectuer l'une des actions suivantes :
|
Event Threat Detection: Possible data exfiltration from BigQuery |
Tentative de requête anormale sur une table BigQuery. |
Un résultat est généré. |
Event Threat Detection: Possible data exfiltration from BigQuery |
Une table BigQuery a été copiée vers une destination externe. |
Un résultat est généré. |
Résultats liés à l'environnement
Ces résultats correspondent aux contraintes ainsi qu'à l'état et au comportement associés de l'environnement entourant les ressources et les données, et interagissant avec le déploiement.| Category | Description du résultat | Étapes suivantes |
|---|---|---|
VPC service perimeter configuration has changed : projets supprimés |
L'un des projets configurés dans le déploiement du plan qui doit être protégé par un périmètre de service VPC spécifique n'est plus protégé par ce périmètre. | Un résultat est généré.
Vous devez examiner les différences entre les contraintes attendues et le cas de non-respect détecté. Solution manuelle Vous pouvez effectuer l'une des actions suivantes :
|
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
GCS enabled in the blueprint has been removed |
La ressource Cloud Storage configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
BQ enabled in the blueprint has been removed |
La ressource BigQuery configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Cloud KMS enabled in the blueprint has been removed |
La ressource Cloud Key Management Service configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Pub/Sub enabled in the blueprint has been removed |
La ressource Pub/Sub configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Dataflow enabled in the blueprint has been removed |
La ressource Dataflow configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Data Catalog enabled in the blueprint has been removed |
La ressource Data Catalog configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Sensitive Data Protection enabled in the blueprint has been removed |
La ressource de protection des données sensibles configurée dans le déploiement du plan pour l'accès au périmètre de service a été supprimée de la liste des services autorisés. |
Résolution complète Le service supprimé est automatiquement restauré. La liste des services restreints pour le périmètre VPC Service Controls spécifique est automatiquement mise à jour. |
Customer specified label has been removed from a blueprint deployed
resource |
Les libellés spécifiés par le client associés au moment du déploiement du plan doivent être appliqués et ne doivent pas être modifiés au moment de l'exécution. |
Résolution complète Les libellés d'origine de la ressource réelle sont automatiquement restaurés. |
Procédures de résolution manuelle
Cette section fournit des instructions pour les résultats du service Secured Landing Zone qui nécessitent des mesures correctives manuelles.
CMEK désactivé ou non utilisé pour le service de stockage de données
Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Pour en savoir plus, consultez la page Protéger des données avec des clés Cloud KMS.
CMEK non utilisé pour le service de stockage de données
Une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK).
Pour corriger ce résultat, procédez comme suit :
- Créez une table protégée par Cloud Key Management Service.
- Copiez votre table dans la nouvelle table compatible avec les CMEK.
- Supprimez la table d'origine.
Pour définir une clé CMEK par défaut qui chiffre toutes les nouvelles tables d'un ensemble de données, consultez la page Définir une clé par défaut de l'ensemble de données.
CMEK désactivé
Un ensemble de données BigQuery n'est pas configuré pour utiliser une clé de chiffrement gérée par le client par défaut (CMEK).
Pour corriger ce résultat, procédez comme suit :
Vous ne pouvez pas basculer une table en place entre les chiffrements par défaut et le chiffrement CMEK. Pour définir une clé CMEK par défaut avec laquelle chiffrer toutes les nouvelles tables de l'ensemble de données, suivez les instructions de la section Définir une clé par défaut de l'ensemble de données.
Définir une clé par défaut ne rechiffre pas rétroactivement les tables actuelles de l'ensemble de données avec une nouvelle clé. Pour utiliser CMEK pour les données existantes, procédez comme suit :
- Créez un ensemble de données.
- Définissez une clé CMEK par défaut sur l'ensemble de données que vous avez créé.
- Pour copier des tables dans l'ensemble de données compatible avec CMEK, suivez les instructions de la section Copier une table.
- Une fois les données copiées, supprimer les ensembles de données d'origine.
Comportement suspect : la ressource est exposée publiquement et la journalisation des accès aux données des ressources a été désactivée
Les journaux d'audit ont été désactivés pour cette ressource.
Activez Cloud Logging pour tous les services afin de suivre toutes les activités d'administration, ainsi que les accès en lecture et en écriture aux données utilisateur. Selon la quantité de données, les coûts de Cloud Logging peuvent être importants. Pour comprendre votre utilisation du service et son coût, consultez la page Optimisation des coûts pour l'observabilité Google Cloud. .
Pour corriger ce résultat, procédez comme suit :
Accédez à la page Configuration de l'audit par défaut dans la console Google Cloud.
Sous l'onglet Type de journal, sélectionnez Lecture administrateur, Lecture de données et Écriture de données.
Cliquez sur Enregistrer.
Dans l'onglet Utilisateurs exemptés, supprimez tous les utilisateurs répertoriés en cliquant sur Supprimer delete à côté de chaque nom.
Cliquez sur Enregistrer.
La configuration du périmètre de service VPC a changé : projets supprimés
Si un projet a été supprimé d'un périmètre de service, procédez comme suit pour le restaurer :
Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation.
Sur la page Security Command Center, dans la table, cliquez sur le nom du périmètre de service que vous souhaitez modifier.
Sur la page Modifier le périmètre de service VPC, mettez à jour le périmètre de service.
Pour restaurer les projets supprimés du périmètre de service, procédez comme suit :
- Cliquez sur Projets.
- Dans le volet Projets, cliquez sur Ajouter des projets.
- Ajoutez à nouveau les projets supprimés à la liste des projets.
Cliquez sur Enregistrer.