Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de vos ressources cloud, y compris votre réseau et vos services cloud. Vous pouvez utiliser une stratégie de sécurité pour évaluer l'état actuel de votre sécurité cloud par rapport à des benchmarks définis, ce qui vous aide à maintenir le niveau de sécurité requis par votre organisation. Une stratégie de sécurité vous aide à détecter et à atténuer toute dérive par rapport au benchmark que vous avez défini. En définissant et en maintenant un niveau de sécurité adapté aux besoins de votre entreprise, vous pouvez réduire les risques de cybersécurité pour votre organisation et éviter les attaques.
Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité dans Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de sécurité de vos ressources Google Cloud et résoudre tout écart (ou modification non autorisée) par rapport à votre stratégie définie.
Avantages et applications
Le service de posture de sécurité est un service intégré à Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état général de votre sécurité dans Google Cloud. Le service de stratégie de sécurité n'est disponible que si vous souscrivez un abonnement au niveau Premium ou Enterprise de Security Command Center et que vous activez Security Command Center au niveau de l'organisation.
Vous pouvez utiliser le service de posture de sécurité pour atteindre les objectifs suivants :
Assurez-vous que vos charges de travail sont conformes aux normes de sécurité, aux réglementations de conformité et aux exigences de sécurité personnalisées de votre organisation.
Appliquez vos contrôles de sécurité aux Google Cloud projets, aux dossiers ou aux organisations avant de déployer des charges de travail.
Surveillez en continu les écarts par rapport aux contrôles de sécurité que vous avez définis et résolvez-les.
Le service de posture de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.
Composants de service
Le service de stratégie de sécurité comprend les composants suivants :
Stratégie
Un ou plusieurs ensembles de règles qui appliquent les contrôles préventifs et de détection dont votre organisation a besoin pour respecter sa norme de sécurité. Vous pouvez déployer des postures au niveau de l'organisation, d'un dossier ou d'un projet. Pour obtenir la liste des modèles de posture, consultez Modèles de posture prédéfinis.
Ensembles de règles
Ensemble d'exigences de sécurité et de contrôles associés dans Google Cloud. En règle générale, un ensemble de règles se compose de toutes les règles qui vous permettent de répondre aux exigences d'une norme de sécurité ou d'une réglementation de conformité spécifiques.
Règle
Contrainte ou restriction spécifique qui contrôle ou surveille le comportement des ressources dans Google Cloud. Les règles peuvent être préventives (par exemple, les contraintes des règles d'administration) ou de détection (par exemple, les détecteurs Security Health Analytics). Les règles acceptées sont les suivantes :
Contraintes liées aux règles d'administration, y compris les contraintes personnalisées
Détecteurs Security Health Analytics, y compris les modules personnalisés
Déploiement de la stratégie
Une fois que vous avez créé une posture, vous devez la déployer pour pouvoir l'appliquer à l'organisation, aux dossiers ou aux projets que vous souhaitez gérer à l'aide de cette posture.
Le schéma suivant montre les composants d'un exemple de posture de sécurité.
Modèles de stratégie prédéfinis
Le service de stratégie de sécurité inclut des modèles de stratégie prédéfinis qui respectent une norme de conformité ou une norme recommandée par Google, comme les recommandations du plan de base d'entreprise. Vous pouvez utiliser ces modèles pour créer des postures de sécurité qui s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de posture.
| Modèle de stratégie | Nom du modèle | Description |
|---|---|---|
| Sécurité par défaut, essentiels | secure_by_default_essential |
Ce modèle implémente les règles qui permettent d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Vous pouvez déployer ce modèle sans le modifier. |
| Sécurité par défaut, étendue | secure_by_default_extended |
Ce modèle implémente les règles qui permettent d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Principes essentiels des recommandations d'IA sécurisées | secure_ai_essential |
Ce modèle implémente des règles qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations d'IA sécurisées, étendues | secure_ai_extended |
Ce modèle implémente des règles qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations BigQuery, principes de base | big_query_essential |
Ce modèle implémente des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations Cloud Storage, principes de base | cloud_storage_essential |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations Cloud Storage, étendues | cloud_storage_extended |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations VPC, principes de base | vpc_networking_essential |
Ce modèle implémente des règles qui vous aident à sécuriser le cloud privé virtuel (VPC). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations VPC étendues | vpc_networking_extended |
Ce modèle implémente des règles qui vous aident à sécuriser le VPC. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations du benchmark v2.0.0 du Center for Internet Security (CIS) Google Cloud Computing Platform | cis_2_0 |
Ce modèle implémente des règles qui vous aident à détecter lorsque votre environnement Google Cloud ne correspond pas au benchmark CIS Google Cloud Computing Platform v2.0.0. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations standards NIST SP 800-53 | nist_800_53 |
Ce modèle implémente des règles qui vous aident à détecter lorsque votre environnement Google Cloud ne correspond pas à la norme SP 800-53 du NIST (National Institute of Standards and Technology). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme ISO 27001 | iso_27001 |
Ce modèle implémente des règles qui vous aident à détecter lorsque votre environnement Google Cloud ne correspond pas à la norme ISO 27001 (Organisation internationale de normalisation). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme PCI DSS | pci_dss_v_3_2_1 |
Ce modèle implémente des règles qui vous aident à détecter lorsque votre environnement Google Cloud ne correspond pas à la norme PCI DSS (Payment Card Industry Data Security Standard) version 3.2.1 et version 1.0. Vous pouvez déployer ce modèle sans le modifier. |
Déploiement de la posture et surveillance des dérives
Pour appliquer une posture avec toutes ses règles à une ressource Google Cloud , vous devez la déployer. Vous pouvez spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel s'applique la posture. Vous ne pouvez déployer qu'une seule posture par organisation, dossier ou projet.
Les postures sont héritées par les dossiers et projets enfants. Par conséquent, si vous déployez des postures au niveau de l'organisation et au niveau du projet, toutes les règles des deux postures s'appliquent aux ressources du projet. En cas de différences dans les définitions de stratégie (par exemple, si une stratégie est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet), la posture de niveau inférieur est utilisée par les ressources de ce projet.
Nous vous recommandons de déployer une posture au niveau de l'organisation qui inclut des règles pouvant s'appliquer à l'ensemble de votre entreprise. Vous pouvez ensuite appliquer des règles plus strictes aux dossiers ou aux projets qui en ont besoin. Par exemple, si vous utilisez le plan de base Enterprise Foundations pour configurer votre infrastructure, vous créez certains projets (par exemple, prj-c-kms) qui sont spécifiquement conçus pour contenir les clés de chiffrement de tous les projets d'un dossier. Vous pouvez utiliser une posture de sécurité pour définir la contrainte de règle d'administration de l'organisation constraints/gcp.restrictCmekCryptoKeyProjects sur le dossier common et les dossiers d'environnement (development, nonproduction et production) afin que tous les projets n'utilisent que les clés des projets de clés.
Une fois votre posture déployée, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport à la posture que vous avez définie. Security Command Center signale les cas de dérive sous forme de résultats que vous pouvez examiner, filtrer et résoudre. De plus, vous pouvez exporter ces résultats de la même manière que vous exportez les autres résultats de Security Command Center. Pour en savoir plus, consultez Exporter des données de Security Command Center.
Intégration à Vertex AI et Gemini
Vous pouvez utiliser des postures de sécurité pour vous aider à maintenir la sécurité de vos charges de travail d'IA. Le service de stratégie de sécurité inclut les éléments suivants :
Modèles de postures prédéfinis spécifiques aux charges de travail d'IA.
Volet de la page Présentation qui vous permet de surveiller les failles détectées par les modules personnalisés Security Health Analytics qui s'appliquent à l'IA, et d'afficher toute dérive par rapport aux règles d'administration Vertex AI définies dans une posture.
Intégration d'AWS
Si vous connectez Security Command Center Enterprise à AWS pour la collecte de données de configuration et de ressources, le service Security Health Analytics inclut des détecteurs intégrés qui peuvent surveiller votre environnement AWS et créer des résultats.
Lorsque vous créez ou modifiez un fichier de posture, vous pouvez inclure des détecteurs Security Health Analytics spécifiques à AWS. Vous devez déployer ce fichier de posture au niveau de l'organisation.
Limites de service
Le service de stratégie de sécurité inclut les limites suivantes :
- Une organisation ne peut pas comporter plus de 100 postures.
- Une posture ne peut pas comporter plus de 400 stratégies.
- Une organisation ne peut pas comporter plus de 1 000 déploiements de postures.