Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de vos éléments cloud, y compris de votre réseau cloud et de vos services cloud. Vous pouvez utiliser une stratégie de sécurité pour évaluer votre sécurité cloud actuelle par rapport à des benchmarks définis et maintenir le niveau de sécurité requis par votre organisation. Une stratégie de sécurité vous aide à détecter et à atténuer toute dérive par rapport au benchmark que vous avez défini. En définissant et en maintenant une stratégie de sécurité qui répond aux besoins de sécurité de votre entreprise, vous pouvez réduire les risques de cybersécurité pour votre organisation et éviter les attaques.
Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité de Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de sécurité de vos ressources Google Cloud et corriger toute dérive (ou modification non autorisée) par rapport à la stratégie que vous avez définie.
Présentation du service de stratégie de sécurité
Le service de stratégie de sécurité est un service intégré à Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Le service de stratégie de sécurité n'est disponible que si vous souscrivez un abonnement au niveau Premium ou Enterprise de Security Command Center et que vous l'activez au niveau de l'organisation.
Vous pouvez utiliser le service de stratégie de sécurité pour effectuer les opérations suivantes:
- Assurez-vous que vos charges de travail sont conformes aux normes de sécurité, aux réglementations de conformité et aux exigences de sécurité personnalisées de votre organisation.
- Appliquez vos contrôles de sécurité à des projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.
- Surveillez en permanence les dérives et corrigez-les par rapport aux contrôles de sécurité que vous avez définis.
Le service de stratégie de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.
Composants du service de stratégie de sécurité
Le service de stratégie de sécurité comprend les composants suivants:
- Stratégie:un ou plusieurs ensembles de règles qui appliquent les contrôles préventifs et de détection dont votre organisation a besoin pour répondre à ses normes de sécurité. Vous pouvez déployer des stratégies au niveau de l'organisation, d'un dossier ou d'un projet. Pour obtenir la liste des modèles de stratégie, consultez Modèles de stratégie prédéfinis.
- Ensembles de règles:ensemble d'exigences de sécurité et de contrôles associés dans Google Cloud. Généralement, un ensemble de règles comprend toutes les règles qui vous permettent de répondre aux exigences d'une norme de sécurité ou d'une réglementation de conformité particulière.
Règle:contrainte ou restriction particulière qui contrôle ou surveille le comportement des ressources dans Google Cloud. Les règles peuvent être préventives (par exemple, contraintes liées aux règles d'administration) ou détectives (par exemple, les détecteurs Security Health Analytics). Les stratégies compatibles sont les suivantes:
Contraintes liées aux règles d'administration, y compris les contraintes personnalisées
les détecteurs Security Health Analytics, y compris les modules personnalisés ;
Déploiement de la stratégie:après avoir créé une stratégie, déployez-la afin de pouvoir l'appliquer à l'organisation, aux dossiers ou aux projets que vous souhaitez gérer à l'aide de la stratégie.
Le schéma suivant présente les composants d'un exemple de stratégie de sécurité.
Modèles de stratégie prédéfinis
Le service de stratégie de sécurité inclut des modèles de stratégie prédéfinis qui respectent une norme de conformité ou une norme recommandée par Google, comme les recommandations du plan de base pour les entreprises. Vous pouvez utiliser ces modèles pour créer des stratégies de sécurité qui s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de position.
| Modèle de stratégie | Nom du modèle | Description |
|---|---|---|
secure_by_default_essential |
Ce modèle met en œuvre les stratégies qui permettent d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Vous pouvez déployer ce modèle sans le modifier. |
|
secure_by_default_extended |
Ce modèle met en œuvre les stratégies qui permettent d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
secure_ai_essential |
Ce modèle implémente des règles qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Vous pouvez déployer ce modèle sans le modifier. |
|
secure_ai_extended |
Ce modèle implémente des règles qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
big_query_essential |
Ce modèle implémente des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
cloud_storage_essential |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
cloud_storage_extended |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
vpcsc_essential |
Ce modèle implémente des règles qui vous aident à sécuriser VPC Service Controls. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
vpcsc_extended |
Ce modèle implémente des règles qui vous aident à sécuriser VPC Service Controls. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
|
cis_2_0 |
Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud ne correspond pas au benchmark CIS Google Cloud Computing Platform v2.0.0. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
nist_800_53 |
Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud ne respecte pas la norme SP 800-53 du NIST (National Institute of Standards and Technology). Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
iso_27001 |
Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud ne respecte pas la norme ISO 27001 de l'Organisation internationale des normes. Vous pouvez déployer ce modèle sans y apporter de modifications. |
|
pci_dss_v_3_2_1 |
Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud ne s'aligne pas sur les versions 3.2.1 et 1.0 de la norme PCI DSS (Payment Card Industry Data Security Standard). Vous pouvez déployer ce modèle sans y apporter de modifications. |
Déployer des stratégies et surveiller la dérive
Pour appliquer une stratégie avec toutes ses règles sur une ressource Google Cloud, vous la déployez. Vous pouvez spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel la stratégie s'applique. Vous ne pouvez déployer qu'une seule stratégie pour chaque organisation, dossier ou projet.
Les stratégies sont héritées par les dossiers et projets enfants. Par conséquent, si vous déployez des stratégies au niveau de l'organisation et au niveau du projet, toutes les règles des deux stratégies s'appliquent aux ressources du projet. En cas de différences entre les définitions de règles (par exemple, si une règle est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet), la stratégie de niveau inférieur est utilisée par les ressources de ce projet.
Nous vous recommandons de déployer au niveau de l'organisation une stratégie incluant des règles applicables à l'ensemble de votre entreprise. Vous pouvez ensuite appliquer des stratégies plus strictes aux dossiers ou aux projets qui en ont besoin. Par exemple, si vous utilisez le plan d'infrastructure de base pour configurer votre infrastructure, vous créez certains projets (par exemple, prj-c-kms) spécialement conçus pour contenir les clés de chiffrement de tous les projets d'un dossier. Vous pouvez utiliser une stratégie de sécurité pour définir la contrainte de règle d'administration constraints/gcp.restrictCmekCryptoKeyProjects sur le dossier common et les dossiers d'environnement (development, nonproduction et production) afin que tous les projets n'utilisent que les clés des projets clés.
Après avoir déployé votre stratégie, vous pouvez surveiller votre environnement afin de détecter toute dérive par rapport à la stratégie définie. Security Command Center signale les instances de dérive en tant que résultats que vous pouvez examiner, filtrer et résoudre. De plus, vous pouvez exporter ces résultats de la même manière que vous exportez tout autre résultat depuis Security Command Center. Pour en savoir plus, consultez les pages Options d'intégration et Exporter des données Security Command Center.
Utiliser des stratégies de sécurité avec Vertex AI et Gemini
Les stratégies de sécurité vous permettent de maintenir la sécurité de vos charges de travail d'IA. Le service de stratégie de sécurité comprend les éléments suivants:
Des modèles de stratégie prédéfinis spécifiques aux charges de travail d'IA.
Volet de la page Présentation qui vous permet de surveiller les failles détectées par les modules personnalisés Security Health Analytics qui s'appliquent à l'IA et d'afficher toute dérive par rapport aux règles d'administration de Vertex AI définies dans une stratégie.
Utiliser le service de stratégie de sécurité avec AWS
Si vous connectez Security Command Center Enterprise à AWS pour la détection des failles, le service Security Health Analytics inclut des détecteurs intégrés permettant de surveiller votre environnement AWS et de créer des résultats.
Lorsque vous créez ou modifiez un fichier de stratégie, vous pouvez inclure des détecteurs Security Health Analytics propres à AWS. Vous devez déployer ce fichier de stratégie au niveau de l'organisation.
Limites du service de stratégie de sécurité
Le service de stratégie de sécurité inclut les limites suivantes:
- Un maximum de 100 stratégies par organisation.
- Une stratégie peut comporter jusqu'à 400 règles.
- Un maximum de 1 000 déploiements de stratégies par organisation.