Cette page a été traduite par l'API Cloud Translation.

Présentation de la stratégie de sécurité

Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de vos éléments cloud, y compris de votre réseau cloud et de vos services cloud. Vous pouvez utiliser une stratégie de sécurité pour évaluer votre sécurité cloud actuelle par rapport à des benchmarks définis et maintenir le niveau de sécurité requis par votre organisation. Une stratégie de sécurité vous aide à détecter et à atténuer toute dérive par rapport au benchmark que vous avez défini. En définissant et en maintenant une stratégie de sécurité adaptée aux besoins de votre entreprise, vous pouvez minimiser les risques de cybersécurité pour votre organisation et empêcher les attaques.

Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité de Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de sécurité de vos ressources Google Cloud et remédier à toute dérive (ou modification non autorisée) par rapport à la stratégie que vous avez définie.

Présentation du service de stratégie de sécurité

Le service de stratégie de sécurité est un service intégré à Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Le service de stratégie de sécurité n'est disponible que si vous souscrivez un abonnement au niveau Premium ou Enterprise de Security Command Center, et que vous activez Security Command Center au niveau de l'organisation.

Vous pouvez utiliser le service de stratégie de sécurité pour effectuer les opérations suivantes:

Assurez-vous que vos charges de travail sont conformes aux normes de sécurité, aux réglementations de conformité et aux exigences de sécurité personnalisées de votre organisation.
Appliquez vos contrôles de sécurité à des projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.
Surveillez en permanence les écarts par rapport aux contrôles de sécurité que vous avez définis et résolvez-les.

Le service Stratégie de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.

Composants du service de stratégie de sécurité

Le service de stratégie de sécurité comprend les composants suivants:

Stratégie:un ou plusieurs ensembles de règles qui appliquent les contrôles préventifs et détectables dont votre organisation a besoin pour répondre à ses normes de sécurité. Vous pouvez déployer des stratégies au niveau de l'organisation, d'un dossier ou d'un projet. Pour obtenir la liste des modèles de posture, consultez la section Modèles de posture prédéfinis.
Ensembles de règles:ensemble d'exigences de sécurité et de contrôles associés dans Google Cloud. En règle générale, un ensemble de règles se compose de toutes les règles vous permettant de répondre aux exigences d'une norme de sécurité ou d'une règle de conformité spécifique.
Règle:contrainte ou restriction particulière qui contrôle ou surveille le comportement des ressources dans Google Cloud. Elles peuvent être préventives (par exemple, des contraintes liées aux règles d'administration) ou détectives (par exemple, des détecteurs Security Health Analytics). Les règles compatibles sont les suivantes:
- Contraintes liées aux règles d'administration, y compris les contraintes personnalisées
- Détecteurs de Security Health Analytics, y compris des modules personnalisés
Déploiement de la stratégie:après avoir créé une stratégie, vous la déployez afin de pouvoir l'appliquer à l'organisation, aux dossiers ou aux projets que vous souhaitez gérer à l'aide de la stratégie.

Le schéma suivant présente les composants d'un exemple de stratégie de sécurité.

Composants du service de stratégie de sécurité.

Modèles de stratégie prédéfinis

Le service de stratégie de sécurité comprend des modèles de stratégie prédéfinis qui respectent une norme de conformité ou une norme recommandée par Google, comme les recommandations du plan de base pour les entreprises. Vous pouvez utiliser ces modèles pour créer des stratégies de sécurité qui s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de posture.

Modèle de stratégie	Nom du modèle	Description
Sécurisé par défaut, l'essentiel	`secure_by_default_essential`	Ce modèle met en œuvre les règles permettant d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Vous pouvez déployer ce modèle sans y apporter de modifications.
Une sécurité renforcée par défaut	`secure_by_default_extended`	Ce modèle met en œuvre les règles permettant d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Avant de déployer ce modèle, vous devez le personnaliser en fonction de votre environnement.
Principes essentiels de l'IA sécurisée	`secure_ai_essential`	Ce modèle met en œuvre des stratégies qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Vous pouvez déployer ce modèle sans y apporter de modifications.
Des recommandations d'IA sécurisées, étendues	`secure_ai_extended`	Ce modèle met en œuvre des stratégies qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Avant de déployer ce modèle, vous devez le personnaliser en fonction de votre environnement.
Recommandations et principes essentiels de BigQuery	`big_query_essential`	Ce modèle implémente des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle sans y apporter de modifications.
Principes essentiels de Cloud Storage, recommandations	`cloud_storage_essential`	Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans y apporter de modifications.
Recommandations Cloud Storage étendues	`cloud_storage_extended`	Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser en fonction de votre environnement.
Principes fondamentaux de VPC Service Controls	`vpcsc_essential`	Ce modèle implémente des règles qui vous aident à sécuriser VPC Service Controls. Vous pouvez déployer ce modèle sans y apporter de modifications.
Recommandations pour VPC Service Controls étendues	`vpcsc_extended`	Ce modèle implémente des règles qui vous aident à sécuriser VPC Service Controls. Avant de déployer ce modèle, vous devez le personnaliser en fonction de votre environnement.
Recommandations du Center for Internet Security (CIS) pour le benchmark de la plate-forme Google Cloud Computing v2.0.0	`cis_2_0`	Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud n'est pas conforme à la version 2.0.0 du benchmark CIS de la plate-forme Google Cloud Computing. Vous pouvez déployer ce modèle sans y apporter de modifications.
Recommandations de la norme NIST SP 800-53	`nist_800_53`	Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud n'est pas conforme à la norme SP 800-53 du NIST (National Institute of Standards and Technology). Vous pouvez déployer ce modèle sans y apporter de modifications.
Recommandations de la norme ISO 27001	`iso_27001`	Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud n'est pas conforme à la norme ISO 27001 de l'Organisation internationale de normes (ISO). Vous pouvez déployer ce modèle sans y apporter de modifications.
Recommandations de la norme PCI DSS	`pci_dss_v_3_2_1`	Ce modèle implémente des règles qui vous aident à détecter les cas où votre environnement Google Cloud n'est pas conforme aux normes PCI DSS (Payment Card Industry Data Security Standard) versions 3.2.1 et 1.0. Vous pouvez déployer ce modèle sans y apporter de modifications.

Déployer des positions et surveiller la dérive

Pour appliquer une stratégie avec toutes ses règles sur une ressource Google Cloud, vous devez la déployer. Vous pouvez spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel la stratégie s'applique. Vous ne pouvez déployer qu'une seule stratégie par organisation, dossier ou projet.

Les dossiers et projets enfants héritent des positions. Par conséquent, si vous déployez des stratégies au niveau de l'organisation et au niveau du projet, toutes les règles des deux stratégies s'appliquent aux ressources du projet. En cas de différences dans les définitions des stratégies (par exemple, si une règle est définie sur Autoriser au niveau de l'organisation et Refuser au niveau du projet), la stratégie de niveau inférieur est utilisée par les ressources de ce projet.

Nous vous recommandons de déployer au niveau de l'organisation une stratégie comprenant des règles pouvant s'appliquer à l'ensemble de votre entreprise. Vous pouvez ensuite appliquer des règles plus strictes aux dossiers ou aux projets qui en ont besoin. Par exemple, si vous utilisez le plan de base de l'entreprise pour configurer votre infrastructure, vous créez certains projets (par exemple, prj-c-kms) qui sont spécifiquement créés pour contenir les clés de chiffrement de tous les projets d'un dossier. Vous pouvez utiliser une stratégie de sécurité pour définir la contrainte de règle d'administration constraints/gcp.restrictCmekCryptoKeyProjects sur le dossier common et les dossiers d'environnement (development, nonproduction et production) afin que tous les projets n'utilisent que les clés des projets de clé.

Après avoir déployé votre stratégie, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport à la stratégie que vous avez définie. Security Command Center signale les instances de dérive comme résultats que vous pouvez examiner, filtrer et résoudre. De plus, vous pouvez exporter ces résultats de la même manière que vous exportez tout autre résultat de Security Command Center. Pour en savoir plus, consultez les pages Options d'intégration et Exporter les données Security Command Center.

Utiliser des stratégies de sécurité avec Vertex AI et Gemini

Vous pouvez utiliser des stratégies de sécurité pour vous aider à maintenir la sécurité de vos charges de travail d'IA. Le service de stratégie de sécurité comprend les éléments suivants:

Modèles de stratégie prédéfinis spécifiques aux charges de travail d'IA.
Un volet sur la page Présentation qui vous permet de surveiller les failles détectées par les modules personnalisés de Security Health Analytics qui s'appliquent à l'IA et d'afficher toute dérive par rapport aux règles d'administration Vertex AI définies dans une stratégie.

Utiliser le service de stratégie de sécurité avec AWS

Si vous connectez Security Command Center Enterprise à AWS pour la détection des failles, le service Security Health Analytics inclut des détecteurs intégrés capables de surveiller votre environnement AWS et de générer des résultats.

Lorsque vous créez ou modifiez un fichier de stratégie, vous pouvez inclure des détecteurs d'analyse de l'état de sécurité spécifiques à AWS. Vous devez déployer ce fichier de stratégie au niveau de l'organisation.

Limites du service de stratégie de sécurité

Le service de stratégie de sécurité inclut les limites suivantes:

Un maximum de 100 stratégies par organisation.
400 règles maximum pour une stratégie.
Un maximum de 1 000 déploiements de stratégie dans une organisation.

Étapes suivantes

Créer et déployer une stratégie