Cet article décrit les restrictions, les limites et les autres options de configuration lorsque vous utilisez le Cloud souverain T-Systems.
Présentation
T-Systems Sovereign Cloud (TSI Sovereign Cloud) fournit des fonctionnalités de résidence et de souveraineté des données pour les services Google Cloud concernés. Pour fournir ces fonctionnalités, certaines fonctionnalités de ces services sont restreintes ou limitées. La plupart de ces modifications sont appliquées lors du processus d'intégration lorsque votre organisation est gérée par T-Systems International (TSI). Toutefois, certaines d'entre elles peuvent être modifiées ultérieurement en modifiant les règles d'administration.
Il est important de comprendre comment ces restrictions modifient le comportement d'un service Google Cloud donné, ou affectent la souveraineté des données ou la résidence des données. Par exemple, certaines fonctionnalités peuvent être automatiquement désactivées pour garantir la souveraineté et la résidence des données. En outre, si un paramètre de règle d'administration est modifié, il peut en résulter la conséquence imprévue de copie de données d'une région à une autre.
Services et API concernés
Services
- Compute Engine
- Persistent Disk
- Cloud Storage
- Cloud SQL
- Cloud Key Management Service (Cloud KMS)
- Google Kubernetes Engine
- Cloud Logging
API
Les points de terminaison d'API suivants sont disponibles dans TSI Sovereign Cloud:
accessapproval.googleapis.comaccesscontextmanager.googleapis.comaxt.googleapis.comclientauthconfig.googleapis.comcloudbilling.googleapis.comcloudkms.googleapis.comcloudnotifications.googleapis.comcloudresourcemanager.googleapis.comcloudsql.googleapis.comcloudsupport.googleapis.comcompute.googleapis.comcontainer.googleapis.comessentialcontacts.googleapis.comiam.googleapis.comlogging.googleapis.commonitoring.googleapis.comorgpolicy.googleapis.comservicenetworking.googleapis.comserviceusage.googleapis.comstackdriver.googleapis.comstorage.googleapis.comsts.googleapis.comvpcaccess.googleapis.com
Règles d'administration
Cette section décrit l'impact des valeurs de contrainte de règle d'administration par défaut sur chaque service lorsque des dossiers ou des projets sont créés à l'aide de TSI Sovereign Cloud. D'autres contraintes applicables, même si elles ne sont pas définies par défaut, peuvent fournir une"défense en profondeur" supplémentaire pour mieux protéger les ressources Google Cloud de votre organisation.
Contraintes liées aux règles d'administration au niveau du cloud
Les contraintes de règles d'administration suivantes s'appliquent à tous les services Google Cloud applicables.
| Contrainte liée aux règles d'administration | Description |
|---|---|
gcp.resourceLocations |
Définissez in:tsi-sovereign comme élément de liste allowedValues.Cette valeur limite la création de ressources au groupe de valeurs TSI uniquement. Lorsqu'il est défini, aucune ressource ne peut être créée dans d'autres régions, multirégions ou emplacements en dehors de ceux définis par le TSI. Pour en savoir plus, consultez la documentation sur les groupes de valeurs des règles d'administration. |
gcp.restrictNonCmekServices |
Définissez la liste de tous les noms de service d'API couverts par le champ d'application, y compris :
Chaque service listé nécessite des clés de chiffrement gérées par le client (CMEK). Le chiffrement CMEK permet de chiffrer les données au repos avec une clé gérée par vous, et non avec les mécanismes de chiffrement par défaut de Google. La modification de cette valeur en supprimant un ou plusieurs services couverts dans la liste peut compromettre la souveraineté des données, car les nouvelles données au repos seront automatiquement chiffrées à l'aide des clés Google et non de la vôtre. Les données au repos existantes resteront chiffrées par la clé que vous avez fournie. |
gcp.restrictCmekCryptoKeyProjects |
Définissez la valeur sur under:organizations/your-organization-name, qui correspond à votre organisation Cloud souveraine TSI. Vous pouvez également restreindre davantage cette valeur en spécifiant un projet ou un dossier.Limite le champ d'application des dossiers ou projets approuvés pouvant fournir des clés KMS pour le chiffrement des données au repos à l'aide de CMEK. Cette contrainte empêche les dossiers ou projets non approuvés de fournir des clés de chiffrement, ce qui permet de garantir la souveraineté des données pour les données au repos des services concernés. |
Contraintes liées aux règles d'administration Compute Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
compute.enableComplianceMemoryProtection |
Défini sur True. Désactive certaines fonctionnalités de diagnostic internes pour assurer une protection supplémentaire du contenu de la mémoire en cas de défaillance de l'infrastructure. La modification de cette valeur peut affecter la résidence ou la souveraineté des données. |
compute.disableSerialPortLogging
| Défini sur True. Désactive la journalisation du port série sur Stackdriver à partir des VM Compute Engine dans le dossier ou le projet où la contrainte est appliquée. La modification de cette valeur peut affecter la résidence ou la souveraineté des données. |
compute.disableInstanceDataAccessApis
| Défini sur True. Désactive globalement les API instances.getSerialPortOutput() et instances.getScreenshot(). |
compute.restrictNonConfidentialComputing |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur supplémentaire. Pour en savoir plus, consultez la documentation sur Confidential VM. |
compute.trustedImageProjects |
(Facultatif) La valeur n'est pas définie. Définissez cette valeur pour fournir une défense en profondeur supplémentaire.
Définir cette valeur limite le stockage d'images et l'instanciation de disques à la liste de projets spécifiée. Cette valeur affecte la souveraineté des données en empêchant l'utilisation d'images ou d'agents non autorisés. |
Contraintes des règles d'administration pour Cloud Storage
| Contrainte liée aux règles d'administration | Description |
|---|---|
storage.uniformBucketLevelAccess |
Défini sur True. L'accès aux nouveaux buckets est géré à l'aide de règles IAM au lieu des listes de contrôle d'accès (LCA) Cloud Storage. Cette contrainte fournit des autorisations précises pour les buckets et leur contenu. Si un bucket est créé lorsque cette contrainte est activée, l'accès à celui-ci ne pourra jamais être géré à l'aide de LCA. En d'autres termes, la méthode de contrôle des accès d'un bucket est définie de manière permanente sur l'utilisation de stratégies IAM au lieu des LCA Cloud Storage. |
storage.restrictAuthTypes |
Défini pour empêcher l'authentification à l'aide d'un code d'authentification de message (HMAC, Hash-based Message Authentication Code). Les deux types HMAC suivants sont spécifiés dans cette valeur de contrainte :
La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie. |
Contraintes liées aux règles de l'organisation Google Kubernetes Engine
| Contrainte liée aux règles d'administration | Description |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Défini sur True. Permet de désactiver l'analyse globale des problèmes de noyau, ce qui est nécessaire pour conserver le contrôle souverain d'une charge de travail. La modification de cette valeur peut affecter la souveraineté des données dans votre charge de travail. Nous vous recommandons vivement de conserver la valeur définie. |
Contraintes applicables aux règles d'administration de Cloud Key Management Service
| Contrainte liée aux règles d'administration | Description |
|---|---|
cloudkms.allowedProtectionLevels |
Définissez-le sur EXTERNAL et EXTERNAL_VPC.Limite les types de clés CryptoKey Cloud Key Management Service pouvant être créés et est défini pour n'autoriser que les types de clés EXTERNAL et EXTERNAL_VPC.
|
Fonctionnalités concernées
Cette section indique l'impact de TSI Sovereign Cloud sur les fonctionnalités de chaque service.
Fonctionnalités de Compute Engine
| Extraction | Description |
|---|---|
| Suspendre et réactiver une instance de VM | Cette fonctionnalité est désactivée. La suspension et la réactivation d'une instance de VM nécessitent un stockage sur disque persistant, et le stockage sur disque persistant utilisé pour stocker l'état de VM suspendue ne peut actuellement pas être chiffré avec CMEK. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité sur la souveraineté et la résidence des données.
|
| Disques SSD locaux | Cette fonctionnalité est désactivée. Vous ne pourrez pas créer d'instance avec des SSD locaux, car ils ne peuvent pas être chiffrés à l'aide de CMEK pour le moment. Consultez la contrainte de règle d'administration gcp.restrictNonCmekServices dans la section ci-dessus pour comprendre les implications de l'activation de cette fonctionnalité sur la souveraineté et la résidence des données.
|
| Afficher les données en sortie du port série | Cette fonctionnalité est désactivée. Vous ne pourrez pas afficher la sortie de manière programmatique ni via Cloud Logging. Définissez la valeur de la contrainte de règle d'administration compute.disableSerialPortLogging sur False pour activer la sortie du port série.
|
| Environnement invité |
Les scripts, les daemons et les binaires inclus avec l'environnement invité peuvent accéder aux données au repos et en cours d'utilisation non chiffrées.
Selon la configuration de votre VM, les mises à jour de ce logiciel peuvent être installées par défaut. Pour en savoir plus sur le contenu, le code source et plus encore de chaque package, consultez la section
Environnement invité. Ces composants vous aident à respecter la souveraineté des données grâce à des contrôles et des processus de sécurité internes. Toutefois, pour les clients qui souhaitent un contrôle supplémentaire, vous pouvez également sélectionner vos propres images ou agents, et éventuellement utiliser la contrainte de règles d'administration compute.trustedImageProjects.
Pour en savoir plus, consultez la section Créer une image personnalisée. |
instances.getSerialPortOutput() |
Cette API est désactivée ; vous ne pouvez pas obtenir de données en sortie du port série depuis l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de
cet article.
|
instances.getScreenshot() |
Cette API est désactivée ; vous ne pouvez pas obtenir de capture d'écran à partir de l'instance spécifiée à l'aide de cette API. Définissez la valeur de la contrainte de règle d'administration compute.disableInstanceDataAccessApis sur False pour activer cette API. Vous pouvez également activer et utiliser le port série interactif en suivant les instructions de
cet article.
|
Fonctionnalités de Cloud Logging
Configuration Cloud Logging supplémentaire requise pour CMEK
Pour utiliser Cloud Logging avec des clés de chiffrement gérées par le client (CMEK), vous devez suivre la procédure décrite dans la section Activer CMEK pour une organisation de la documentation Cloud Logging.
Fonctionnalités Cloud Logging concernées
| Caractéristique | Description |
|---|---|
| Récepteurs de journaux | Les filtres ne doivent pas contenir de données client. Les récepteurs de journaux incluent des filtres qui sont stockés en tant que configuration. Ne créez pas de filtres contenant des données client. |
| Affichage en direct des dernières lignes des entrées de journal | Les filtres ne doivent pas contenir de données client. Une session de affichage des dernières lignes en direct inclut un filtre stocké en tant que configuration. Les journaux de suivi ne stockent aucune donnée d'entrée de journal, mais peuvent interroger et transmettre des données entre les régions. Ne créez pas de filtres contenant des données client. |
| Alertes basées sur des journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'alertes basées sur les journaux dans la console Google Cloud . |
| URL abrégées pour les requêtes de l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas créer d'URL de requêtes raccourcies dans la console Google Cloud . |
| Enregistrer des requêtes dans l'explorateur de journaux | Cette fonctionnalité est désactivée. Vous ne pouvez pas enregistrer de requêtes dans la console Google Cloud . |
| Analyse de journaux avec BigQuery | Cette fonctionnalité est désactivée. Vous ne pouvez pas utiliser la fonctionnalité Log Analytics. |