Ce document fournit une architecture de haut niveau pour sécuriser des ensembles de données volumineux contenant des données sensibles, y compris des informations permettant d'identifier personnellement l'utilisateur (PII), dans Google Cloud. L'architecture est conçue pour protéger les données sensibles contre l'exposition accidentelle et l'exfiltration malveillante. Elle est destinée aux responsables de la conformité des données et aux ingénieurs en sécurité cloud qui connaissent les concepts fondamentaux de mise en réseau et d'identité dans le cloud. L'architecture met en évidence l'utilisation de périmètres réseau qui remplacent explicitement les paramètres permissifs de Identity and Access Management (IAM) pour empêcher tout accès public non autorisé, même lorsque les ressources sont mal configurées.
La section Déploiement de ce document fournit un exemple de code Terraform pour déployer automatiquement ce périmètre et simuler un blocage d'accès public.
Architecture
Le schéma d'architecture suivant illustre une stratégie de protection des données multicouche et robuste sur Google Cloud. Il montre efficacement comment les données passent d'un état non structuré à un environnement sécurisé et contrôlé.
Le schéma précédent montre comment chaque service Google assure la sécurité des données, de l'importation initiale à l'accès aux données :
- Un utilisateur disposant des autorisations IAM appropriées importe des données dans le service de stockage de données BigQuery ou Cloud Storage. Les services de stockage sont configurés pour utiliser des clés de chiffrement gérées par le client (CMEK) et Cloud KMS Autokey.
- Le service chiffre les données à l'aide d'une CMEK extraite de Cloud KMS Autokey.
- Sensitive Data Protection inspecte, classe et anonymise en continu les données sensibles dans le dépôt. Pour anonymiser les données sensibles, Sensitive Data Protection les masque à l'aide de modèles et d'options que vous configurez.
- Les services de stockage se trouvent dans un périmètre VPC Service Controls, qui bloque l'accès aux données depuis l'extérieur du périmètre. Pour accorder des autorisations d'accès à des utilisateurs et des systèmes désignés (principaux IAM), vous utilisez un modèle de niveau d'accès Access Context Manager. Les principaux désignés peuvent ensuite accéder aux données qui se trouvent dans le périmètre.
- VPC Service Controls refuse l'accès à toute personne non spécifiée dans le modèle de niveau d'accès.
Produits utilisés
- VPC Service Controls : fonctionnalité de mise en réseau gérée qui réduit les risques d'exfiltration de données pour vos Google Cloud ressources.
- Protection des données sensibles : service entièrement géré conçu pour vous aider à découvrir, classer et protéger vos ressources de données précieuses, y compris les informations permettant d'identifier personnellement l'utilisateur (PII).
- Cloud Key Management Service (Cloud KMS) : service qui vous permet de créer, d'importer, et de gérer des clés cryptographiques, et d'effectuer des opérations cryptographiques dans un seul service cloud centralisé.
- Access Context Manager : service qui vous permet de définir des règles de contrôle des accès précises basées sur des attributs pour vos projets et ressources dans Google Cloud.
- BigQuery : entrepôt de données d'entreprise qui vous aide à gérer et analyser vos données grâce à des fonctionnalités intégrées telles que l'analyse géospatiale du machine learning et l'informatique décisionnelle.
- Cloud Storage : store d'objets économique et sans limite pour tout type de données. Les données sont accessibles depuis et en dehors de Google Cloud, et sont répliquées sur plusieurs emplacements à des fins de redondance.
Cas d'utilisation
Cette architecture fournit un framework de sécurité robuste pour gérer les données sensibles dans Google Cloud. Elle se concentre sur la protection des données, le contrôle des accès et la prévention de l'exfiltration. L'architecture permet d'établir un environnement sécurisé pour les données sensibles en combinant un chiffrement fort avec l'anonymisation automatisée des données et des contrôles de périmètre réseau. Cette implémentation permet de s'assurer que les données sont chiffrées avec des clés contrôlées par le client (CMEK), que les informations sensibles sont automatiquement détectées et masquées, et que l'accès est strictement limité et géré de manière contextuelle. Ces mesures contribuent à réduire considérablement les risques d'exfiltration de données.
Voici des exemples de cas d'utilisation de l'architecture décrite dans ce document :
- Secteurs réglementés (finance, santé, secteur public) : les secteurs fortement réglementés nécessitent des frameworks de sécurité qui contribuent à assurer la conformité et la sécurité des données. Pour assurer la conformité et protéger les données client sensibles, il est essentiel de s'assurer que les données sont sécurisées au repos, que les données sensibles sont détectées et que des contrôles d'accès sont en place. Nous recommandons aux secteurs réglementés d'implémenter cette conception pour assurer la conformité des données.
- Secteurs non réglementés : les secteurs non soumis à des réglementations sur les données peuvent bénéficier de l'implémentation d'un framework de sécurité robuste. Il est important d'empêcher l'exposition des données sensibles, de stocker les données de manière sécurisée et de mettre en place des règles qui contrôlent l'accès aux données. L'architecture décrite dans ce document peut aider un secteur non réglementé à atteindre le même niveau de sécurité qu'un secteur fortement réglementé. Nous recommandons aux secteurs non réglementés d'implémenter cette conception comme bonne pratique.
Considérations de conception
- Pour analyser les cas de non-respect des journaux et éviter les verrouillages accidentels des charges de travail de production, implémentez toujours d'abord VPC Service Controls en mode de simulation.
- Pour vous assurer que les réseaux d'entreprise et les appareils administratifs de confiance peuvent interagir avec les ressources protégées, définissez des règles et des niveaux Access Context Manager précis.
Pour identifier rapidement et de manière économique les emplacements potentiels des données sensibles, exécutez Sensitive Data Protection avec l'échantillonnage activé sur de grands ensembles de données. Pour en savoir plus, consultez les ressources suivantes :
- Inspecter BigQuery pour identifier les données sensibles avec l'échantillonnage
- Inspecter Cloud Storage avec l'échantillonnage
Pour assurer une protection complète de ces ensembles de données, exécutez une analyse complète après avoir inspecté les données avec l'échantillonnage. Pour en savoir plus, consultez la section Présentation de la découverte de données sensibles.
Pour vous assurer que le chiffrement est appliqué automatiquement, avant de créer des ressources, activez Cloud KMS Autokey au niveau du dossier ou du projet.
Déploiement
Pour déployer un exemple d'implémentation de cette architecture, utilisez l' exemple de code de sécurité des données disponible sur GitHub.
Étape suivante
- Pour vous familiariser avec Cloud KMS Autokey, consultez l' atelier de programmation Chiffrer facilement des ressources avec Cloud KMS Autokey.
- Découvrez comment utiliser VPC Service Controls avec Access Context Manager.
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Manish Gaur | Architecte en sécurité
- James Meyer | Architecte en sécurité
Autres contributeurs :
- Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux
- Susan Wu | Responsable produit orienté client
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
- Biodun Awojobi | Responsable de l'ingénierie client, Sécurité et conformité