Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de vos ressources cloud, y compris votre réseau et vos services cloud. Vous pouvez utiliser une stratégie de sécurité pour évaluer l'état actuel de votre sécurité cloud par rapport à des benchmarks définis, ce qui vous aide à maintenir le niveau de sécurité requis par votre organisation. Une stratégie de sécurité vous aide à détecter et à atténuer toute dérive par rapport au benchmark que vous avez défini. En définissant et en maintenant un niveau de sécurité adapté aux besoins de votre entreprise, vous pouvez réduire les risques de cybersécurité pour votre organisation et contribuer à éviter les attaques.
Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité de Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de sécurité de vos ressources Google Cloud et corriger toute dérive (ou modification non autorisée) par rapport à la stratégie définie.
Présentation du service d'évaluation de la sécurité
Le service d'état de sécurité est un service intégré à Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état global de votre sécurité dans Google Cloud. Le service de stratégie de sécurité n'est disponible que si vous achetez un abonnement au niveau Premium ou Enterprise de Security Command Center et que vous activez Security Command Center au niveau de l'organisation.
Vous pouvez utiliser le service d'état de sécurité pour atteindre les objectifs suivants:
Assurez-vous que vos charges de travail respectent les normes de sécurité, les réglementations de conformité et les exigences de sécurité personnalisées de votre organisation.
Appliquez vos contrôles de sécurité aux projets, dossiers ou organisations Google Cloud avant de déployer des charges de travail.
Surveillez en continu les écarts par rapport aux contrôles de sécurité que vous avez définis et corrigez-les.
Le service d'état de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.
Composants du service de stratégie de sécurité
Le service de stratégie de sécurité comprend les composants suivants:
Posture:un ou plusieurs ensembles de règles qui appliquent les contrôles préventifs et détecteurs dont votre organisation a besoin pour respecter ses normes de sécurité. Vous pouvez déployer des postures au niveau de l'organisation, du dossier ou du projet. Pour obtenir la liste des modèles de posture, consultez Modèles de posture prédéfinis.
Ensembles de règles:ensemble d'exigences de sécurité et de commandes associées dans Google Cloud. En règle générale, un ensemble de règles se compose de toutes les règles qui vous permettent de répondre aux exigences d'une norme de sécurité ou d'une réglementation de conformité particulière.
Règle:contrainte ou restriction particulière qui contrôle ou surveille le comportement des ressources dans Google Cloud. Les règles peuvent être préventives (par exemple, les contraintes de règles d'organisation) ou détectives (par exemple, les détecteurs de Security Health Analytics). Les règles acceptées sont les suivantes:
Contraintes liées aux règles d'administration, y compris les contraintes personnalisées
Détecteurs Security Health Analytics, y compris les modules personnalisés
Déploiement de la posture:après avoir créé une posture, vous la déployez afin de pouvoir l'appliquer à l'organisation, aux dossiers ou aux projets que vous souhaitez gérer à l'aide de la posture.
Le schéma suivant montre les composants d'un exemple de posture de sécurité.
Modèles de stratégie prédéfinis
Le service d'évaluation de la sécurité inclut des modèles d'évaluation prédéfinis qui respectent une norme de conformité ou une norme recommandée par Google, comme les recommandations du plan de base d'entreprise. Vous pouvez utiliser ces modèles pour créer des postures de sécurité qui s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de posture.
| Modèle de stratégie | Nom du modèle | Description |
|---|---|---|
| Sécurité intégrée par défaut, éléments essentiels | secure_by_default_essential |
Ce modèle implémente les règles qui aident à éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Vous pouvez déployer ce modèle sans le modifier. |
| Sécurité intégrée par défaut, étendue | secure_by_default_extended |
Ce modèle implémente les règles qui aident à éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations d'IA sécurisées, principes essentiels | secure_ai_essential |
Ce modèle implémente des règles qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations d'IA sécurisées étendues | secure_ai_extended |
Ce modèle implémente des règles qui vous aident à sécuriser les charges de travail Gemini et Vertex AI. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations BigQuery, éléments essentiels | big_query_essential |
Ce modèle implémente des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations Cloud Storage, éléments essentiels | cloud_storage_essential |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations Cloud Storage étendues | cloud_storage_extended |
Ce modèle implémente des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations VPC, éléments essentiels | vpc_networking_essential |
Ce modèle implémente des règles qui vous aident à sécuriser le cloud privé virtuel (VPC). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations VPC étendues | vpc_networking_extended |
Ce modèle implémente des règles qui vous aident à sécuriser votre VPC. Avant de déployer ce modèle, vous devez le personnaliser pour qu'il corresponde à votre environnement. |
| Recommandations du Center for Internet Security (CIS) concernant le benchmark v2.0.0 de Google Cloud Computing Platform | cis_2_0 |
Ce modèle implémente des règles qui vous aident à détecter quand votre environnement Google Cloud ne correspond pas au benchmark v2.0.0 de la plate-forme de calcul Google Cloud du CIS. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme NIST SP 800-53 | nist_800_53 |
Ce modèle implémente des règles qui vous aident à détecter quand votre environnement Google Cloud ne respecte pas la norme SP 800-53 de l'Institut national des normes et de la technologie (NIST). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme ISO 27001 | iso_27001 |
Ce modèle implémente des règles qui vous aident à détecter quand votre environnement Google Cloud ne respecte pas la norme ISO 27001. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme PCI DSS | pci_dss_v_3_2_1 |
Ce modèle implémente des règles qui vous aident à détecter quand votre environnement Google Cloud ne respecte pas les versions 3.2.1 et 1.0 de la norme PCI DSS (Payment Card Industry Data Security Standard). Vous pouvez déployer ce modèle sans le modifier. |
Déployer des postures et surveiller la dérive
Pour appliquer une posture avec toutes ses règles à une ressource Google Cloud, vous devez la déployer. Vous pouvez spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel la posture s'applique. Vous ne pouvez déployer qu'une seule posture pour chaque organisation, dossier ou projet.
Les postures sont héritées par les dossiers et projets enfants. Par conséquent, si vous déployez des postures au niveau de l'organisation et au niveau du projet, toutes les stratégies des deux postures s'appliquent aux ressources du projet. En cas de différences dans les définitions de stratégie (par exemple, une stratégie est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet), la posture de niveau inférieur est utilisée par les ressources de ce projet.
Nous vous recommandons de déployer une posture au niveau de l'organisation, qui inclut des règles pouvant s'appliquer à l'ensemble de votre entreprise. Vous pouvez ensuite appliquer des règles plus strictes aux dossiers ou aux projets qui en ont besoin. Par exemple, si vous utilisez le plan de base de l'entreprise pour configurer votre infrastructure, vous créez certains projets (par exemple, prj-c-kms) qui sont spécifiquement créés pour contenir les clés de chiffrement de tous les projets d'un dossier. Vous pouvez utiliser une posture de sécurité pour définir la contrainte de stratégie de l'organisation constraints/gcp.restrictCmekCryptoKeyProjects sur le dossier common et les dossiers d'environnement (development, nonproduction et production) afin que tous les projets n'utilisent que les clés des projets clés.
Une fois votre posture déployée, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport à la posture définie. Security Command Center signale les cas de dérive sous forme de résultats que vous pouvez consulter, filtrer et résoudre. De plus, vous pouvez exporter ces résultats de la même manière que vous exportez d'autres résultats depuis Security Command Center. Pour en savoir plus, consultez les pages Options d'intégration et Exporter des données de Security Command Center.
Utiliser des postures de sécurité avec Vertex AI et Gemini
Vous pouvez utiliser des postures de sécurité pour vous aider à assurer la sécurité de vos charges de travail d'IA. Le service d'évaluation de la sécurité comprend les éléments suivants:
Modèles de posture prédéfinis spécifiques aux charges de travail d'IA.
Volet de la page Vue d'ensemble qui vous permet de surveiller les failles détectées par les modules personnalisés Security Health Analytics qui s'appliquent à l'IA, et de consulter toute dérive par rapport aux règles d'administration Vertex AI définies dans une posture.
Utiliser le service de stratégie de sécurité avec AWS
Si vous connectez Security Command Center Enterprise à AWS pour la détection des failles, le service Security Health Analytics inclut des détecteurs intégrés qui peuvent surveiller votre environnement AWS et créer des résultats.
Lorsque vous créez ou modifiez un fichier d'état, vous pouvez inclure des détecteurs Security Health Analytics spécifiques à AWS. Vous devez déployer ce fichier de posture au niveau de l'organisation.
Limites du service d'évaluation de la sécurité
Le service de stratégie de sécurité présente les limites suivantes:
- Vous pouvez créer jusqu'à 100 postures dans une organisation.
- 400 stratégies maximum par posture.
- 1 000 déploiements de posture maximum par organisation