Considérations sur la sécurité et la confidentialité

Présentation

Cette section d'aide fournit des informations sur les différentes précautions prises par gsutil pour protéger la sécurité des données, ainsi que des recommandations sur la façon dont les clients doivent assurer la sécurité.

Transport Layer Security

gsutil exécute toutes les opérations à l'aide du chiffrement de la couche de transport (HTTPS), afin de prévenir les fuites de données sur les liens réseau partagés. Ce fait est aussi important, car gsutil utilise des "jetons de support" pour l'authentification (OAuth2), ainsi que pour les identifiants d'importation avec reprise. Ces jetons ne doivent pas être compromis ni réutilisés.

gsutil est également compatible avec l'ancien type d'authentification HMAC via l'API XML (consultez la page concernant gsutil help apis). Même si l'authentification HMAC n'utilise pas de jetons de support (et n'est donc pas susceptible d'être compromise ou réutilisée), elle joue un rôle majeur dans le chiffrement du trafic de données.

Avant la version 4.0 de gsutil, il était possible d'utiliser HTTP au lieu de HTTPS en définissant sur "False" le paramètre de configuration "is_secure" dans la section [Boto] du fichier de configuration boto. Cela est en revanche impossible à partir de la version 4.0 de l'outil gsutil. Pour en savoir plus sur les différentes options d'identifiants, consultez la page concernant gsutil help creds.

Sécurité du stockage local des fichiers

gsutil assure une protection contre les failles de sécurité des fichiers stockés localement :

  • Lorsque la commande "gsutil config" (ou "gcloud init" pour les installations SDK Cloud) est exécutée, elle définit sur 600 ("-rw-------") le mode de protection du fichier de configuration .boto généré. Seul l'utilisateur (ou le super-utilisateur) peut le lire. Cela est important, car ces fichiers contiennent des informations sensibles en ce qui concerne la sécurité, telles que les identifiants et la configuration du proxy.
  • La commande "gsutil config" (ou "gcloud init" pour les installations SDK Cloud) définit également sur 600 le mode de protection du fichier de clé privée stocké localement lorsque vous créez des identifiants de compte de service.
  • Le niveau de journalisation par défaut des commandes gsutil n'inclut pas d'informations sensibles concernant la sécurité, telles que les jetons OAuth2 et les informations de configuration du proxy. (Consultez la section "PRÉCAUTIONS RECOMMANDÉES AUX UTILISATEURS" ci-dessous si vous augmentez le niveau de sortie de débogage à l'aide de l'option gsutil "-D".)

Ces modes de protection ne sont pas compatibles avec Windows. Par conséquent, si vous utilisez gsutil sous Windows, nous vous recommandons d'utiliser un système de fichiers chiffrés et des mots de passe de compte sécurisés.

Écriture temporaire sur disque de fichiers sensibles par gsutil

gsutil met des données en mémoire tampon dans des fichiers temporaires dans plusieurs cas :

  • Lors de la compression de données importées via "gsutil cp -z/-Z", gsutil les met en mémoire tampon dans des fichiers temporaires dotés d'une protection 600, qu'il supprime une fois le transfert terminé (de même pour le téléchargement de fichiers importés avec "gsutil cp -z/-Z" ou un autre processus qui définit l'encodage de contenu sur "gzip"). Toutefois, si vous arrêtez le processus gsutil en cours d'importation, le fichier partiellement écrit demeurera sur le disque. Reportez-vous à la section "MODIFICATION DES RÉPERTOIRES TEMPORAIRES" de la page gsutil help cp pour savoir où sont écrits les fichiers temporaires et comment modifier l'emplacement du répertoire temporaire.
  • Lors d'une importation avec reprise, gsutil stocke l'ID d'importation (qui, comme indiqué ci-dessus, est un jeton de support et doit donc être protégé) dans un fichier sous ~/.gsutil/tracker-files doté d'une protection 600, puis supprime ce fichier une fois l'importation terminée. Toutefois, si l'importation échoue, le fichier de suivi reste en place, ce qui vous permet de réessayer ultérieurement. Au fil du temps, il est possible d'accumuler ces fichiers de suivi issus de tentatives d'importation annulées, même si les ID d'importation avec reprise ne sont valides qu'une semaine. Le risque de sécurité n'existe donc que pour des fichiers plus récents. Si le risque de laisser les ID d'importation annulées dans le répertoire de suivi est trop important, vous pouvez modifier vos scripts d'importation pour supprimer les fichiers de suivi. Vous pouvez également créer une tâche Cron pour vider régulièrement le répertoire de fichiers de suivi.
  • La commande "gsutil rsync" stocke des fichiers temporaires (dotés d'une protection 600) contenant les noms, tailles et sommes de contrôle des répertoires/buckets sources et de destination, qu'elle supprime une fois la synchronisation terminée. Cependant, si vous arrêtez le processus gsutil pendant l'exécution de la commande "rsync", les fichiers de référencement seront conservés.

Notez que gsutil supprime les fichiers temporaires en appelant la fonction de dissociation standard du système d'exploitation, qui ne procède pas à l'effacement des données. Ainsi, le contenu de ces fichiers temporaires peut être récupéré par une personne mal intentionnée déterminée.

Listes de contrôle d'accès

Si vous ne spécifiez pas une LCA différente (par exemple, via l'option "-a" de la commande "gsutil cp"), les objets par défaut écrits dans un bucket utilisent la LCA par défaut des objets de ce bucket. Si vous ne modifiez pas cette LCA (par exemple, via la commande "gsutil defacl"), celle-ci autorise par défaut tous les éditeurs de projet à accéder en écriture à l'objet et en lecture/écriture à ses métadonnées ; tous les lecteurs de projet disposeront d'un accès en lecture à l'objet.

Le système de contrôle des accès de Cloud Storage permet de spécifier que les objets sont lisibles publiquement. Assurez-vous que tous les objets que vous écrivez avec cette autorisation sont publics. Une fois "publiées", les données sur Internet peuvent être copiées à de nombreux endroits. Il est donc impossible de reprendre le contrôle en lecture d'un objet écrit avec cette autorisation.

Le système de contrôle des accès de Cloud Storage permet de spécifier que les buckets sont publiquement accessibles en écriture. Bien qu'il puisse être pratique de configurer un bucket de cette manière pour diverses raisons, nous vous déconseillons d'utiliser cette autorisation. Elle peut être employée de manière abusive pour diffuser des contenus illégaux, des virus et d'autres logiciels malveillants. Le propriétaire du bucket est juridiquement et financièrement responsable du contenu stocké dans son bucket. Si vous devez mettre du contenu à la disposition de clients qui ne possèdent pas de compte Google, utilisez des URL signées (consultez la page gsutil help signurl).

Intégrité et mises à jour des logiciels

gsutil est distribué en tant qu'ensemble autonome de fichiers TAR et ZIP stockés dans le bucket gs://pub, sous la forme d'un module PyPi, comme élément de la release groupée de Cloud SDK. Chacune de ces méthodes de distribution comprend diverses dispositions de sécurité pour protéger l'intégrité du logiciel. Nous vous déconseillons vivement d'obtenir une copie de gsutil à partir d'autres sources (telles que des sites miroirs).

Utilisation du proxy

gsutil autorise l'accès via un proxy tel que Squid et certains produits commerciaux. Une description complète de leurs fonctionnalités dépasse le cadre de cette documentation. Toutefois, les proxys peuvent être configurés pour prendre en charge de nombreuses fonctions de sécurité, y compris l'analyse antivirus, la prévention des fuites de données, le contrôle des certificats/autorités de certification, le filtrage de type de contenu, ainsi que d'autres nombreuses fonctionnalités. Certaines de ces fonctionnalités peuvent ralentir ou bloquer le comportement normal de gsutil. Par exemple, l'analyse antivirus dépend du déchiffrement du contenu du fichier, ce qui nécessite que le proxy mette fin à la connexion gsutil et établisse une nouvelle connexion. Dans certains cas, les proxys réécrivent le contenu et génèrent des erreurs de validation de somme de contrôle et d'autres problèmes.

Pour en savoir plus sur la configuration des proxys, consultez le texte d'aide du proxy dans votre fichier de configuration .boto (généré par la commande "gsutil config" ou "gcloud init").

Chiffrement au repos

Toutes les données Cloud Storage sont stockées de manière chiffrée. Pour en savoir plus, consultez la section Chiffrement côté serveur.

Vous pouvez également choisir vos propres clés de chiffrement. Pour en savoir plus, consultez la page gsutil help encryption.

Confidentialité des données

Google ne vous demandera jamais de partager vos identifiants, votre mot de passe ni aucune autre information sensible. Méfiez-vous des escroqueries par hameçonnage, où une personne tente de se faire passer pour Google et demande de telles informations.

Données de mesure

La commande "gsutil perfdiag" collecte diverses mesures liées aux performances, et des informations sur votre système local et votre environnement réseau, afin de les utiliser pour résoudre les problèmes de performances. Aucune de ces informations ne sera envoyée à Google, sauf si vous le souhaitez.