Ce document fournit une architecture générale pour sécuriser les ensembles de données volumineux contenant des données sensibles, y compris des informations permettant d'identifier personnellement l'utilisateur (PII), dans Google Cloud. L'architecture est conçue pour vous aider à sécuriser les données sensibles contre toute exposition accidentelle et toute exfiltration malveillante. Il s'adresse aux responsables de la conformité des données et aux ingénieurs en sécurité cloud qui connaissent les concepts de base de la mise en réseau et de l'identité dans le cloud. L'architecture met en évidence l'utilisation de périmètres réseau qui remplacent explicitement les paramètres IAM (Identity and Access Management) permissifs pour empêcher tout accès public non autorisé, même en cas de mauvaise configuration des ressources.
La section Déploiement de ce document fournit un exemple de code Terraform pour déployer vous-même ce périmètre et simuler un blocage de l'accès public.
Architecture
Le schéma d'architecture suivant illustre une stratégie de protection des données robuste et multicouche sur Google Cloud. Il montre efficacement comment les données passent d'un état non structuré à un environnement sécurisé et contrôlé.
Le schéma précédent montre comment chaque service Google assure la sécurité des données, de l'importation initiale à l'accès aux données :
- Un utilisateur disposant des autorisations IAM appropriées importe des données dans le service de stockage de données BigQuery ou Cloud Storage. Les services de stockage sont configurés pour utiliser des clés de chiffrement gérées par le client (CMEK) et une clé automatique Cloud KMS.
- Le service chiffre les données à l'aide d'une CMEK récupérée à partir de la clé automatique Cloud KMS.
- Sensitive Data Protection inspecte, classe et anonymise en permanence les données sensibles du dépôt. Pour anonymiser les données sensibles, Sensitive Data Protection les masque à l'aide de modèles et d'options que vous configurez.
- Les services de stockage se trouvent dans un périmètre VPC Service Controls, qui bloque l'accès aux données depuis l'extérieur du périmètre. Pour accorder des autorisations d'accès à des utilisateurs et systèmes désignés (entités IAM), vous utilisez un modèle de niveau d'accès Access Context Manager. Les représentants désignés peuvent ensuite accéder aux données qui se trouvent dans le périmètre.
- VPC Service Controls refuse l'accès à toute personne non spécifiée dans le modèle de niveau d'accès.
Produits utilisés
- VPC Service Controls : fonctionnalité réseau gérée qui minimise les risques d'exfiltration de données pour vos ressources Google Cloud .
- Sensitive Data Protection : service entièrement géré conçu pour vous aider à découvrir, classer et protéger vos éléments de données précieux, y compris les informations permettant d'identifier personnellement l'utilisateur.
- Cloud Key Management Service (Cloud KMS) : service qui vous permet de créer, d'importer et de gérer des clés cryptographiques, et d'effectuer des opérations cryptographiques dans un seul service cloud centralisé.
- Access Context Manager : service qui vous permet de définir des règles de contrôle d'accès précises et basées sur des attributs pour vos projets et ressources dans Google Cloud.
- BigQuery : entrepôt de données d'entreprise qui vous aide à gérer et analyser vos données grâce à des fonctionnalités intégrées telles que l'analyse géospatiale du machine learning et l'informatique décisionnelle.
- Cloud Storage : store d'objets économique et sans limite pour tout type de données. Les données sont accessibles depuis et en dehors de Google Cloud, et sont répliquées sur plusieurs emplacements à des fins de redondance.
Cas d'utilisation
Cette architecture fournit un framework de sécurité robuste pour gérer les données sensibles dans Google Cloud. Il se concentre sur la protection des données, le contrôle des accès et la prévention de l'exfiltration. L'architecture permet d'établir un environnement sécurisé pour les données sensibles en combinant un chiffrement puissant avec des contrôles automatisés de désidentification des données et du périmètre réseau. Cette implémentation permet de s'assurer que les données sont chiffrées avec des clés contrôlées par le client (CMEK), que les informations sensibles sont automatiquement détectées et masquées, et que l'accès est strictement limité et géré de manière contextuelle. Ces mesures permettent de réduire considérablement les risques d'exfiltration des données.
Voici des exemples de cas d'utilisation de l'architecture décrite dans ce document :
- Secteurs réglementés (finance, santé, secteur public) : les secteurs fortement réglementés nécessitent des frameworks de sécurité qui aident à atteindre la conformité et la sécurité des données. Pour assurer la conformité et protéger les données client sensibles, il est essentiel de s'assurer que les données sont sécurisées au repos, que les données sensibles sont détectées et que des contrôles d'accès sont en place. Nous recommandons aux secteurs réglementés d'implémenter cette conception pour les aider à respecter la conformité des données.
- Secteurs non réglementés : les secteurs non soumis à des réglementations sur les données peuvent bénéficier de la mise en œuvre d'un cadre de sécurité robuste. Il est important d'empêcher l'exposition de données sensibles, de stocker les données de manière sécurisée et de mettre en place des règles qui contrôlent l'accès aux données. L'architecture décrite dans ce document peut aider un secteur non réglementé à atteindre le même niveau de sécurité qu'un secteur fortement réglementé. Nous recommandons aux secteurs non réglementés d'implémenter cette conception comme bonne pratique.
Considérations de conception
- Pour analyser les cas de non-respect des journaux et éviter le verrouillage accidentel des charges de travail de production, implémentez toujours VPC Service Controls en mode de simulation.
- Pour vous assurer que les réseaux d'entreprise et les appareils administratifs de confiance peuvent interagir avec les ressources protégées, définissez des niveaux et des règles Access Context Manager précis.
Pour identifier rapidement et à moindre coût l'emplacement potentiel des données sensibles, exécutez Sensitive Data Protection avec l'échantillonnage activé sur les grands ensembles de données. Pour en savoir plus, consultez les ressources suivantes :
- Inspecter BigQuery pour identifier les données sensibles avec l'échantillonnage
- Inspecter Cloud Storage avec l'échantillonnage
Pour assurer une protection complète de ces ensembles de données, exécutez une analyse complète après avoir inspecté les données avec l'échantillonnage. Pour en savoir plus, consultez Présentation de la découverte de données sensibles.
Pour vous assurer que le chiffrement est appliqué automatiquement, activez Cloud KMS Autokey au niveau du dossier ou du projet avant de créer des ressources.
Déploiement
Pour déployer un exemple d'implémentation de cette architecture, utilisez l'exemple de code de sécurité des données disponible sur GitHub.
Étapes suivantes
- Pour vous familiariser avec Cloud KMS Autokey, consultez l'atelier de programmation Chiffrer facilement des ressources avec Cloud KMS Autokey.
- Découvrez comment utiliser VPC Service Controls avec Access Context Manager.
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Manish Gaur | Architecte en sécurité
- James Meyer | Architecte de sécurité
Autres contributeurs :
- Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux
- Susan Wu | Responsable produit orienté client
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
- Biodun Awojobi | Responsable de l'ingénierie client, de la sécurité et de la conformité