Cette article explique comment appliquer des règles de sécurité à l'aide du service Secured Landing Zone. Le service Secured Landing Zone vous permet d'effectuer le suivi des ressources dans une zone de destination sécurisée, d'identifier les cas de non-respect des règles sur ces ressources et d'appeler les mesures correctives appropriées.
Le service Secured Landing Zone utilise des signaux d'entrée provenant de divers services Google Cloud natifs, tels que Cloud Asset Inventory, les résultats de Security Command Center, les périmètres de service VPC et les journaux d'audit. Ces signaux sont validés par rapport aux règles de sécurité configurées pour le plan.
Si un événement ou un groupe d'événements enfreint une règle, le service Secured Landing Zone considère cela comme un non-respect des règles. Chaque fois qu'un non-respect des règles est identifié, il est notifié en tant que résultat dans Security Command Center. Le service Secured Landing Zone détermine les actions correctives et la réponse à appliquer pour un sous-ensemble de ces cas de non-respect des règles en fonction du cas d'utilisation et du contexte réels.
Exigences du niveau Premium
Le service Secured Landing Zone ne peut être activé qu'au niveau Premium de Security Command Center. Lorsqu'il est activé, ce service affiche les résultats en cas de non-respect des règles dans les ressources du plan déployé, génère les alertes correspondantes et prend des mesures correctives automatiques. À l'aide des entrées du journal d'audit, vous pouvez afficher des informations sur l'auteur et la date de ce non-respect des règles. Pour en savoir plus sur la liste des résultats et les mesures correctives, consultez la section Comment corriger les résultats de Secured Landing Zone.
Avant de commencer
Pour que le service Secured Landing Zone puisse identifier l'ensemble de ressources à surveiller, vous devez générer et configurer le fichier de plan Terraform. Le service Secured Landing Zone nécessite que le fichier de plan soit généré au format JSON. Pour en savoir plus sur la génération du fichier de plan Terraform, consultez la section Plan Terraform.
Autorisations IAM requises
Pour pouvoir utiliser le service Secured Landing Zone, vous devez disposer des rôles et autorisations suivants au niveau de l'organisation :
| Description | Rôle | Autorisations |
|---|---|---|
| Permet d'afficher toutes les propriétés d'une instance de service Secured Landing Zone | securedlandingzone.googleapis.com/overwatchViewer |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.get
securedlandingzone.googleapis.com/overwatches.list
securedlandingzone.googleapis.com/operations.get
securedlandingzone.googleapis.com/operations.list
|
| Permet d'activer ou de suspendre une instance de service Secured Landing Zone | securedlandingzone.googleapis.com/overwatchActivator |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.activate
securedlandingzone.googleapis.com/overwatches.suspend
|
| Fournit un accès complet à une instance de service Secured Landing Zone | securedlandingzone.googleapis.com/overwatchAdmin |
securedlandingzone.googleapis.com/overwatches.create
securedlandingzone.googleapis.com/overwatches.update
securedlandingzone.googleapis.com/overwatches.delete
|
Afficher les ressources surveillées par le service Secured Landing Zone
Une fois que vous avez créé une instance de service Secured Destination Zone, des marques de sécurité sont ajoutées aux ressources surveillées. Pour afficher les ressources dans Security Command Center, vous pouvez utiliser ces marques de sécurité.
Pour afficher la liste des ressources, procédez comme suit :
Accédez à la page Éléments de Security Command Center dans la console Google Cloud.
Placez votre curseur dans le champ Filtre en haut de la liste des éléments. Un menu s'affiche.
Faites défiler le menu jusqu'en bas, puis sélectionnez Marques de sécurité.
Security marks:est ajouté au champ Filtre, et la liste des marques de sécurité existantes s'affiche.Dans la liste des marques de sécurité affichée, faites défiler la page jusqu'à la marque de sécurité créée pour votre instance du service Secured Destination Zone, puis sélectionnez-la. La marque de sécurité apparaît au format
securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME, oùSLZ_SERVICE_INSTANCE_NAMEcorrespond au nom de l'instance de service Secured Destination Zone.Si vous ne voyez pas la marque de sécurité dont vous avez besoin, saisissez le nom de votre instance Secured Destination Zone dans le champ Filtrer juste après
Security marks:.
La liste affiche toutes les ressources liées à une instance de service Secured Landing Zone.
Tester l'instance de service Secured Landing Zone
Après avoir créé une instance de service Secured Landing Zone, vous pouvez effectuer un exemple de test pour vérifier si elle fonctionne comme prévu. Pour ce faire, vous pouvez créer manuellement un non-respect des règles.
Voici quelques exemples sur la façon de créer un non-respect des règles et de tester l'instance de service Secured Landing Zone.
Modifier le contrôle des accès du bucket Cloud Storage
Voici un exemple de création d'une violation de contrôle des accès. La règle de sécurité du plan déployé permet de contrôler les accès via des autorisations IAM au niveau du bucket. En définissant un contrôle des accès ultraprécis, vous augmentez le risque d'exfiltration de données pour le bucket Cloud Storage. Cela enfreint la règle déployée, car l'accès aux objets peut désormais être accordé au niveau d'un objet individuel. Pour créer une violation de contrôle des accès, procédez comme suit :
- Dans Google Cloud Console, accédez à la page du Navigateur Cloud Storage.
Les buckets faisant partie du projet actuellement sélectionné apparaissent dans la liste du navigateur. - Dans la liste des buckets, cliquez sur le bucket de votre choix.
- Cliquez sur l'onglet Autorisations.
- Dans le champ Contrôle des accès, cliquez sur le lien Passer à. Ce champ disparaît 90 jours après l'activation de l'accès uniforme au niveau du bucket.
- Dans la boîte de dialogue qui s'affiche, sélectionnez Ultraprécis.
- Cliquez sur Enregistrer.
Pour afficher les résultats générés, consultez la section Afficher les résultats dans Security Command Center.
Désactiver le mode de journal d'audit détaillé au niveau du projet
Voici un exemple de désactivation du mode de journal d'audit détaillé au niveau du projet. La règle de sécurité du plan déployé applique des informations détaillées sur les requêtes et les réponses pour les opérations Cloud Storage. La désactivation de cette règle peut limiter l'exhaustivité des données capturées et affecter la conformité réglementaire de la ressource de stockage. Pour désactiver le mode de journal d'audit détaillé au niveau du projet, procédez comme suit :
- Dans la console Google Cloud, accédez à la page Règles d'administration.
- Sélectionnez le projet requis dans le menu déroulant du projet.
- Filtrez la liste selon le nom de la règle intitulée Mode de journalisation d'audit détaillée.
- Cliquez sur la règle.
- Sur la page des détails de la règle, cliquez sur Modifier.
- S'il existe déjà une règle de mode d'application, supprimez-la.
- Cliquez sur Ajouter une règle.
- Cliquez sur Désactivé pour désactiver le mode de journalisation d'audit détaillée.
- Enregistrez les modifications.
Pour afficher les résultats générés, consultez la section Afficher les résultats dans Security Command Center.
Afficher les résultats dans Security Command Center
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation Google Cloud.
Sur la page Résultats, cliquez sur Type de source à côté de Afficher par.
Sélectionnez Secured Landing Zone. Un résultat actif associé au cas de non-respect des règles que vous avez créé s'affiche.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom de ce résultat sous Catégorie dans le tableau.
Pour afficher les informations du journal d'audit, cliquez sur l'onglet Propriétés sources. Les entrées du journal d'audit fournissent des informations sur l'auteur et la date de ce non-respect des règles.
Actualisez la page.
Sur la page Résultats, cliquez sur Type de source à côté de Afficher par. Vous ne pouvez plus voir de résultat actif, car le résultat a été corrigé par le service Secured Landing Zone. Les entrées du journal d'audit sont mises à jour pour fournir des informations sur la personne qui a corrigé le non-respect des règles et la date de cette correction.
Afficher les résultats du service Secured Landing Zone dans Security Command Center
Chaque fois que le service Secured Landing Zone identifie une violation des règles de sécurité d'un plan déployé, il affiche ces résultats dans Security Command Center. Pour en savoir plus sur l'élaboration des résultats, consultez la page Créer une requête de résultats dans la console Google Cloud.
Pour afficher les résultats du service Secured Landing Zone pour un type d'élément spécifique, procédez comme suit :
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Dans le panneau Filtres rapides, sélectionnez les options suivantes:
- Dans la section Source display name (Nom à afficher source), sélectionnez Secured Destination Zone (Zone de destination sécurisée).
- Facultatif: dans la section ID du projet, sélectionnez l'ID du projet dans lequel afficher les éléments.
- Dans la section Type de ressource, sélectionnez le type de ressource que vous souhaitez afficher.
La liste des résultats du panneau Résultats de la requête de résultats est mise à jour pour n'afficher que les résultats correspondant à vos sélections.