Concevez des règles pour les entreprises.

Cet article vous explique comment concevoir un ensemble de règles permettant à votre entreprise, une entreprise cliente fictive nommée EnterpriseExampleOrganization, d'utiliser Google Cloud.

Les entreprises clientes sont généralement en activité depuis un certain temps, et cet historique façonne leur structure organisationnelle et leurs règles internes. L'ajout de diverses entités juridiques par le biais d'acquisitions, de fusions ou de la croissance naturelle du marché conduit ces clients à développer une structure organisationnelle sophistiquée et complexe, incluant de nombreux employés. Dans un environnement aussi élaboré, il est essentiel d'établir un contrôle centralisé, un système de conformité et une séparation des responsabilités.

Souvent, les processus et les outils utilisés pour gérer les actifs sur site doivent être étendus afin d'inclure les ressources cloud. Cet article vous explique comment concevoir des règles permettant à EnterpriseExampleOrganization d'utiliser Google Cloud de manière à répondre aux exigences suivantes :

  • Conserver un système de gestion des identités sur site pour tous les utilisateurs d'EnterpriseExampleOrganization
  • Restreindre l'accès aux ressources pour les membres d'EnterpriseExampleOrganization
  • Déléguer l'administration aux équipes ou aux services afin qu'ils puissent gérer les ressources Google Cloud provisionnées
  • Répartir les charges croisées entre les équipes et les produits qu'elles développent
  • Utiliser un outil en libre-service pour provisionner les demandes d'équipements et de ressources de calcul, et appliquer les contrôles de l'entreprise Cet outil doit être étendu de manière à couvrir les ressources Google Cloud.
  • Prendre des décisions en matière d'achats par l'intermédiaire d'une équipe financière centrale
  • Gérer la sécurité et les contrôles réseau par l'intermédiaire d'une équipe centrale
  • Surveiller l'activité du compte Google Cloud de EnterpriseExampleOrganization
  • Cantonner les développeurs à n'utiliser que les ressources qui leur sont attribuées par l'outil en libre-service
  • Restreindre l'accès aux déploiements et leur lancement, de l'assurance qualité à la production, aux seuls ingénieurs autorisés

Gouvernance et visibilité

Les sections suivantes présentent différentes approches Google Cloud qui sont offertes à EnterpriseExampleOrganization pour répondre à la liste des exigences.

Gestion des identités

Exigence d'EnterpriseExampleOrganization traitée :

  • Conserver un système de gestion des identités sur site pour tous les utilisateurs d'EnterpriseExampleOrganization

Google Cloud utilise les comptes Google pour l'authentification et la gestion des accès. Pour permettre à EnterpriseExampleOrganization d'accéder aux ressources Google Cloud, les employés doivent avoir accès à une identité Google. Étant donné que vous continuerez à utiliser votre système d'identité avec Google Cloud, vous devez configurer un compte Cloud Identity pour permettre à EnterpriseExampleOrganization de se synchroniser avec les identités sur site à l'aide de Cloud Directory Sync. Vous devez également mettre en œuvre le service SSO SAML pour vous assurer que l'authentification est gérée par votre système de gestion des identités. Pour plus de détails, consultez la documentation sur l'authentification et les identités ainsi que le diagramme suivant.

Structure des règles d'entreprise

Synchronisation Cloud Directory

En configurant Cloud Identity et en utilisant la synchronisation Cloud Directory, vous pouvez synchroniser votre système de gestion des identités local avec le cloud. Vous bénéficiez ainsi d'un contrôle précis sur les utilisateurs d'entreprise auxquels vous souhaitez accorder un accès direct aux ressources Google Cloud. Ces utilisateurs sont généralement des développeurs, des data scientists et des membres du personnel opérationnel.

Utiliser SAML

Google Cloud est compatible avec l'authentification SSO SAML 2.0, où Google fait office de fournisseur de services tandis qu'un système d'identification tiers joue le rôle du fournisseur d'identités. Cela garantit que l'authentification des identités est bien déléguée au fournisseur d'identités.

Structure de l'organisation

Exigences d'EnterpriseExampleOrganization traitées :

  • Restreindre l'accès aux ressources pour les membres d'EnterpriseExampleOrganization
  • Déléguer l'administration aux équipes ou aux services afin qu'ils puissent gérer les ressources Google Cloud provisionnées
  • Répartir les charges croisées entre les équipes et les produits qu'elles développent

EnterpriseExampleOrganization requiert une gouvernance centralisée : vous devez donc mettre en œuvre une ressource Organisation. Cela donne aux administrateurs d'EnterpriseExampleOrganization une visibilité et un contrôle complets sur les ressources de l'entreprise.

Une fois que la ressource Organisation est en place, vous pouvez établir une correspondance entre votre organisation et la hiérarchie des ressources. Dans le cadre de cette organisation hiérarchique, vous pouvez utiliser des dossiers Cloud comme conteneurs pour les projets et pour d'autres dossiers. Les dossiers Cloud permettent aux utilisateurs de regrouper leurs projets sous forme de dossiers pour une gestion à grande échelle des ressources et des stratégies.

Le schéma ci-dessous offre une vue d'ensemble de cette structure.

structure de l'organisation

Cette structure reflète la hiérarchie des départements d'une organisation ou des filiales rattachées à une maison mère. EnterpriseExampleOrganization peut également utiliser des dossiers pour encapsuler tous les projets et ressources associés à un centre de coûts, un département ou un projet d'application.

L'utilisation de dossiers cloud vous permet d'administrer les règles de gestion des accès au niveau des dossiers. Tous les projets d'un dossier particulier héritent des règles de ce dossier.

Contrôles de sécurité organisationnels

Exigences d'EnterpriseExampleOrganization traitées :

  • Restreindre l'accès aux ressources pour les membres d'EnterpriseExampleOrganization
  • Surveiller l'activité du compte Google Cloud de EnterpriseExampleOrganization
  • Utiliser un outil en libre-service pour provisionner les demandes d'équipements et de ressources de calcul, et appliquer les contrôles de l'entreprise Cet outil doit être étendu de manière à couvrir les ressources Google Cloud.
  • Gérer la sécurité et les contrôles réseau par l'intermédiaire d'une équipe centrale
  • Cantonner les développeurs à n'utiliser que les ressources qui leur sont attribuées par l'outil en libre-service
  • Restreindre l'accès aux déploiements et leur lancement, de l'assurance qualité à la production, aux seuls ingénieurs autorisés

Le service de règles d'administration assure un contrôle centralisé et automatisé sur les ressources cloud d'EnterpriseExampleOrganization. Ce service fournit un mécanisme simple pour appliquer les configurations autorisées dans votre hiérarchie de ressources cloud. Dans ce contexte, les règles d'administration vous permettent de contrôler la configuration des ressources cloud au niveau de l'organisation.

Les règles d'administration offrent les avantages suivants :

  • Vous pouvez définir des règles par projet, par dossier ou par organisation.
  • Les règles sont héritées en aval dans la hiérarchie des ressources, mais l'administrateur des règles a la possibilité de les ignorer à n'importe quel niveau autorisant la définition d'une règle d'administration.
  • L'entité en charge de la gestion des règles est l'administrateur des règles, et non le propriétaire des ressources. Cela signifie que les utilisateurs individuels et les propriétaires de projet ne peuvent pas ignorer les règles d'administration.

Contrôle des ressources

Vous pouvez mettre en œuvre des règles d'administration pour contrôler la liste des ressources disponibles dans une limite de confiance Google Cloud (dossier, projet ou autre niveau organisationnel).

  • Identity and Access Management (Cloud IAM) vous permet de gérer le contrôle des accès en définissant qui (identité) dispose de quel type d'accès (rôle) pour quelle ressource. Vous pouvez attribuer des rôles aux utilisateurs en créant une stratégie IAM, qui consiste en un ensemble d'instructions spécifiant qui dispose de quel type d'accès. Une stratégie est associée à une ressource et permet de contrôler tous les accès à cette ressource.
  • Cloud Resource Manager fournit des points de liaison et un mécanisme d'héritage pour le contrôle des accès et les règles d'administration. L'API Resource Manager vous permet d'interagir avec l'organisation, les dossiers et les projets.
  • Dans tous les cas, réfléchissez bien aux contrôles des accès à mettre en place, aux utilisateurs auxquels l'accès doit être accordé et aux situations dans lesquelles il convient d'appliquer le principe de moindre privilège.

Cloud Deployment Manager vous permet de créer automatiquement des projets intégrant les ressources et les stratégies Cloud IAM appropriées. Vous avez alors la possibilité d'utiliser les modèles dans le cadre d'un système en libre-service.

Rôles fonctionnels

Vous devez mapper les rôles fonctionnels d'EnterpriseExampleOrganization aux rôles IAM appropriés.

La gestion des utilisateurs au moyen de groupes vous permet de modifier aisément la liste des utilisateurs autorisés à exécuter une fonction. Ajuster l'appartenance à un groupe élimine la nécessité de mettre à jour la stratégie. Nommez les groupes d'après l'intitulé des différents rôles fonctionnels dans la terminologie d'EnterpriseExampleOrganization.

Étant donné que vous utiliserez l'outil en libre-service pour activer des API et déployer des modèles Deployment Manager, vous devez disposer de comptes de service dotés des autorisations appropriées.

Les exemples de stratégies IAM présentés ci-dessous peuvent répondre aux exigences d'EnterpriseExampleOrganization :

Description de la stratégie IAM Fonctionnalités
Niveau de ressource auquel la règle doit être appliquée : Organisation

Rôles à attribuer : Administrateur de la facturation

Membres à associer : Équipe financière
Le rôle Administrateur de la facturation permet à l'équipe financière de gérer les paiements et les factures, mais elle n'a pas l'autorisation de consulter le contenu du projet.
Niveau de ressource auquel la règle doit être accordée : Organisation

Rôles à accorder : Utilisateur de la facturation, Créateur de projet

Membres à associer : Compte de service utilisé pour automatiser la création de projets et d'objets
Le rôle Créateur de projet donne au compte de service utilisé par l'outil en libre-service les autorisations requises pour créer un projet. Le rôle Utilisateur de la facturation permet au compte de service d'activer la facturation (c'est-à-dire d'associer des projets au compte de facturation de l'organisation pour l'ensemble des projets de l'organisation).
Niveau de ressource auquel la règle doit être appliquée : Organisation

Rôles à attribuer : Administrateur réseau

Membres à associer : Équipe d'administration réseau
Le rôle Administrateur réseau accorde l'autorisation de créer, modifier et supprimer des ressources réseau. Attribuer cette autorisation à l'équipe d'administration réseau au niveau de l'organisation signifie que les membres de l'équipe peuvent gérer la configuration du réseau pour tous les projets de l'organisation.

Audits

Cloud Audit Logging vous permet de consulter les journaux d'audit récents. Il enregistre les journaux des activités d'administration et de l'accès aux données générés par les services Google Cloud afin de déterminer qui a fait quoi, où et quand.

Vous pouvez conserver des entrées de journal d'audit spécifiques pendant une durée déterminée dans Cloud Logging, qui fournit un tableau de bord des activités récentes liées aux projets. Les règles relatives aux quotas de Logging indiquent la durée de conservation des entrées de journal. Toutefois, vous ne pouvez pas supprimer ni modifier les journaux d'audit ou leurs entrées. Pour prolonger la période de conservation, vous pouvez exporter les entrées de journal d'audit vers un bucket Cloud Storage, un ensemble de données BigQuery, un sujet Pub/Sub ou une combinaison des trois.

Suivre et analyser les dépenses

Exigences d'EnterpriseExampleOrganization traitées :

  • Prendre des décisions en matière d'achats par l'intermédiaire d'une équipe financière centrale
  • Répartir les charges croisées entre les équipes et les produits qu'elles développent

Un compte de facturation unique, mis en œuvre conjointement avec Cloud Resource Manager et un ensemble de fonctionnalités de facturation, peut répondre aux exigences d'EnterpriseExampleOrganization. Les fonctionnalités de facturation incluent les suivantes :

  • Utilisation de projets pour organiser les ressources : le coût est indiqué par projet, et les ID de projet sont inclus dans l'exportation de la facturation.
  • Annotation des projets avec des libellés représentant des informations de regroupement supplémentaires (par exemple, environment=test). Ces libellés sont inclus dans l'exportation de la facturation pour vous permettre de ventiler les coûts de manière plus détaillée. Bien que susceptibles d'être modifiés ultérieurement, ces libellés peuvent tout de même s'avérer utiles.
  • Encodage d'un centre de coûts dans Project Name ou ID. Cette fonctionnalité facilite l'imputation des coûts au centre de coûts.
  • Exportation des données de facturation directement vers BigQuery pour permettre des analyses détaillées.

Le schéma suivant montre un seul compte de facturation mis en œuvre conjointement avec Resource Manager.

structure de facturation

Pour gérer la facturation de manière centralisée, vous devez attribuer le rôle Administrateur de la facturation au compte de facturation et associer ce rôle IAM à la personne qui gère la facturation.

Proposition de règles d'organisation et de gestion des identités

Le schéma suivant présente les règles d'administration proposées pour EnterpriseExampleOrganization.

règle d'organisation

Le schéma précédent fait apparaître cinq caractéristiques principales :

  1. Les règles d'administration assurant l'application des contraintes et de la conformité.

  2. Les dossiers pour la facturation croisée entre entités légales et services.

  3. Les projets pour les équipes et les applications.

  4. L'utilisation des identités d'entreprise existantes via une synchronisation des identités ou une authentification unique.

  5. La création préalable de groupes pour gérer les autorisations IAM.

Configuration du réseau et contrôles de sécurité

Exigences d'EnterpriseExampleOrganization traitées :

  • Gérer la sécurité et les contrôles réseau par l'intermédiaire d'une équipe centrale

EnterpriseExampleOrganization dispose d'une équipe centrale qui gère les contrôles de sécurité et de mise en réseau, et souhaite conserver ce modèle pour son utilisation de Google Cloud. Cette équipe a besoin de connexions fiables et sécurisées à Google Cloud depuis ses bureaux. Cloud Interconnect fournit des connexions caractérisées par une disponibilité plus élevée ou une latence plus faible (ou les deux) qu'avec une connexion Internet classique.

VPC partagé

Un VPC partagé vous permet de gérer des ressources réseau communes, telles que des réseaux et des sous-réseaux VPC, à partir d'un projet hôte central. D'autres projets peuvent également accéder à ces ressources. Cette configuration et les contrôles IAM associés facilitent l'administration du réseau central.

Avec le VPC partagé, vous pouvez disposer d'un réseau VPC, tel qu'un espace d'adresses IP RFC 1918 commun et privé, qui couvre plusieurs projets. Vous pouvez ajouter des instances de n'importe quel projet à ce réseau VPC ou à ses sous-réseaux. Il est possible d'associer un VPN à ce réseau VPC unique, qui peut être utilisé par tous les projets ou par un sous-ensemble de ces derniers.

Le VPC partagé offre les fonctionnalités suivantes :

  • Il permet de créer un ensemble d'administrateurs réseau centralisés et distincts de ceux de votre projet.
  • Vous pouvez l'utiliser pour désigner un groupe d'administrateurs chargés de gérer le VPC partagé à l'aide de contrôles IAM.
  • Il facilite la création d'ensembles distincts d'administrateurs. Les administrateurs de chaque projet Google Cloud peuvent créer et utiliser des instances sur le réseau VPC.
  • Il permet à l'administrateur réseau de faire partie d'une équipe centralisée, tandis que les utilisateurs des différents services d'EnterpriseExampleOrganization peuvent partager le réseau ou le sous-réseau VPC.
  • Il permet de gérer de manière centralisée les ressources réseau telles que les adresses IP et les sous-réseaux.
  • Il permet d'appliquer des règles cohérentes à l'ensemble de l'organisation.
  • L'administrateur réseau peut définir une seule fois un ensemble de règles communes pour les pare-feu, les passerelles, la sécurité et le NAT, puis les appliquer à tous les sous-réseaux, sans devoir spécifier et gérer ces règles N fois pour chaque projet.

Contrôles de sécurité du réseau

Exigences d'EnterpriseExampleOrganization traitées :

  • Cantonner les développeurs à n'utiliser que les ressources qui leur sont attribuées par l'outil en libre-service
  • Gérer la sécurité et les contrôles réseau par l'intermédiaire d'une équipe centrale
  • Restreindre l'accès aux déploiements et leur lancement, de l'assurance qualité à la production, aux seuls ingénieurs autorisés

EnterpriseExampleOrganization souhaite transférer les ressources compilées directement de l'environnement de test vers son environnement de production, de manière sécurisée et planifiée. Le modèle de réseau décrit ici répond à ses exigences en matière de contrôles de sécurité.

Les contrôles de sécurité au niveau de l'organisation ont été abordés dans une section précédente. Ces contrôles, ainsi que les contrôles de sécurité spécifiques au réseau, fonctionnent conjointement pour répondre aux exigences identifiées dans cette section.

Rôles IAM liés au réseau

Pour répondre aux exigences d'EnterpriseExampleOrganization, vous devez mettre en œuvre les contrôles IAM appropriés pour la sécurité et le réseau.

Fonctionnalités Description des stratégies IAM requises
Une équipe centrale gère les contrôles réseau et de sécurité. Tous les projets partagent un même réseau.
  • Conformément aux bonnes pratiques, configurez un groupe contenant les identités des utilisateurs qui gèrent de manière centralisée la mise en réseau et la sécurité. Utilisez ce groupe dans les différentes stratégies IAM requises pour répondre à cette exigence.
  • L'utilisation du VPC partagé vous permet de mapper des équipes centralisées afin de gérer la configuration du réseau.
  • Attribuez au groupe les rôles Administrateur réseau et Administrateur VPC partagé (XPNAdmin) au niveau de l'organisation dans la hiérarchie des ressources cloud. En outre, l'attribution à ce groupe d'administrateurs du rôle Administrateur de sécurité au niveau de l'organisation fournit les autorisations nécessaires pour gérer les règles de pare-feu et les certificats SSL.
Les projets sont créés à l'aide d'un outil en libre-service. Cette fonctionnalité nécessite un projet dédié dans lequel il existe un compte de service capable de créer des projets.

L'outil en libre-service utilise ce compte de service. Accordez-lui les rôles Utilisateur de la facturation et Créateur de projet, et définissez ces rôles au niveau de l'organisation.

Des équipes distinctes peuvent gérer chaque projet de service, de sorte que vous pouvez séparer les projets suivant les phases de développement, de test et de production.

Le schéma ci-dessous illustre le modèle le plus simple qui répond aux exigences d'EnterpriseExampleOrganization en matière de contrôle centralisé. La même équipe peut gérer les réseaux VPC de développement et de production.

Architecture des exigences de contrôle centralisé.

Règles de pare-feu

Les règles de pare-feu permettent de gérer le trafic entre les sous-réseaux source et cible et/ou les instances identifiées à l'aide de tags ou utilisant des comptes de service. Ces règles fournissent les contrôles nécessaires pour garantir la présence d'un nombre suffisant de barrières de sécurité entre les environnements de développement, de test et de production.

Références

Exigence Références
Gestion des identités
Structure de l'organisation
Facturation
Contrôles réseau et de sécurité

Étapes suivantes