Accès privilégié dans Google Cloud

Ce contenu a été mis à jour pour la dernière fois en février 2025 et représente la situation au moment où il a été rédigé. Il est possible que les règles et les systèmes de sécurité de Google changent par la suite, car nous améliorons continuellement la protection de nos clients.

Ce document décrit les fonctionnalités et les produits qui vous aident à contrôler l'accès du personnel de Google à vos données client. Comme défini dans les Conditions d'utilisation deGoogle Cloud , les données client sont des données fournies par les clients ou les utilisateurs finaux à Google via les services dans le cadre de leur compte.

Présentation de l'accès privilégié

En règle générale, vous êtes le seul à accéder à vos données client et aux services Google Cloudque vous activez. Dans certains cas, le personnel Google peut avoir besoin d'accéder à vos données pour vous aider à bénéficier d'un service contractuel (par exemple, si vous avez besoin d'assistance ou de vous remettre d'une panne). Ce type d'accès est appelé accès privilégié.

Les employés disposant de droits d'accès élevés qui se voient accorder ou acquièrent temporairement des autorisations supérieures présentent un risque interne plus élevé. Notre approche de l'accès privilégié vise à réduire le nombre de vecteurs d'attaque possibles. Par exemple, nous utilisons les contrôles de sécurité suivants :

  • Schémas d'authentification redondants
  • Chemins d'accès limités aux données
  • Journalisation et alerte des actions dans nos systèmes
  • Autorisations réglementées

Cette approche nous aide à contrôler et à détecter les attaques internes, à limiter l'impact des incidents et à réduire les risques pour vos données.

La stratégie de gestion des accès privilégiés dans Google Cloud limite la capacité du personnel Google à consulter ou modifier les données client. DansGoogle Cloud, les limites d'accès privilégié font partie intégrante du fonctionnement de nos produits.

Pour en savoir plus sur les cas où le personnel Google peut accéder à vos données, consultez l'Avenant relatif au traitement des données dans le cloud.

Philosophie de l'accès privilégié

La philosophie de Google concernant les accès privilégiés repose sur les principes directeurs suivants :

  • Les restrictions d'accès doivent être basées sur des rôles et des approbations multipartites : le personnel Google n'a pas accès au système par défaut. Lorsque l'accès est accordé, il est temporaire et n'est pas plus étendu que nécessaire pour exercer le rôle. L'accès aux données client, les opérations critiques sur les systèmes de production et les modifications du code source sont contrôlés par des systèmes de vérification manuels et automatisés. Le personnel Google ne peut pas accéder aux données client sans qu'une autre personne approuve la demande. Le personnel ne peut accéder qu'aux ressources nécessaires à l'exercice de ses fonctions et doit fournir une justification valable pour accéder aux données client. Pour en savoir plus, consultez Comment Google protège ses services de production.

  • Les charges de travail doivent être protégées de bout en bout : avec le chiffrement en transit, le chiffrement au repos et l'informatique confidentielle pour le chiffrement en cours d'utilisation, Google Cloud peut fournir un chiffrement de bout en bout des charges de travail des clients.

  • La journalisation et l'audit sont continus : l'accès du personnel Google aux données client est journalisé, et les systèmes de détection des menaces effectuent des audits en temps réel, alertant l'équipe de sécurité lorsque des entrées de journal correspondent à des indicateurs de menace. Les équipes de sécurité internes évaluent les alertes et les journaux pour identifier et examiner les activités anormales, ce qui limite l'étendue et l'impact de tout incident. Pour en savoir plus sur la gestion des incidents, consultez Processus de gestion des incidents liés aux données.

  • L'accès doit être transparent et inclure des contrôles client : vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour gérer vos propres clés de chiffrement et contrôler l'accès à celles-ci. De plus, Access Transparency garantit que chaque accès privilégié dispose d'une justification professionnelle qui est enregistrée dans un journal. Access Approval vous permet d'accepter ou de refuser les demandes d'accès à certains ensembles de données émanant du personnel de Google.

Accès du personnel Google aux données client

Par défaut, le personnel Google n'a pas accès aux données client Google Cloud .

Pour y accéder, le personnel Google doit remplir les conditions suivantes :

  • être membre des listes de contrôle des accès (LCA) concernées.
  • Lisez et acceptez régulièrement les règles de Google concernant l'accès aux données.
  • Utilisez un appareil vérifié.
  • Connectez-vous avec l'authentification multifactorielle à l'aide d'une clé de sécurité Titan, ce qui minimise le risque d'hameçonnage des identifiants.
  • Accédez à des outils qui évaluent la justification fournie (par exemple, le numéro de demande d'assistance ou le numéro de problème), le rôle de l'utilisateur et le contexte.
  • Si les outils l'exigent, obtenez l'approbation d'un autre membre du personnel Google qualifié.
  • Si vous vous êtes enregistré auprès d'Access Approval, obtenez votre approbation.

Différents rôles du personnel nécessitent différents niveaux d'accès. Par exemple, les rôles d'assistance ont un accès limité aux données client directement liées à une demande d'assistance. Les rôles d'ingénierie peuvent nécessiter des droits d'accès supplémentaires au système pour résoudre des problèmes plus complexes liés à la fiabilité des services ou au déploiement de services.

Lorsque Google fournit ses services en collaboration avec des tiers (tels que des fournisseurs de service client), nous évaluons ces tiers pour nous assurer qu'ils offrent un niveau de sécurité et de confidentialité approprié. Google Cloud publie une liste de tous les sous-traitants utilisés pour fournir le service.

Raisons pour lesquelles le personnel Google peut accéder aux données client

Bien que Google Cloud soit conçu pour automatiser, minimiser ou éliminer la nécessité pour le personnel Google d'accéder aux données client, il existe encore des cas où le personnel Google peut accéder aux données client. Il peut s'agir d'une assistance demandée par le client, d'une panne ou d'une défaillance d'outil, de demandes légales de tiers et de vérifications initiées par Google.

Demande d'assistance soumise par le client

L'accès du personnel Google aux données client dans les services qui utilisent Access Transparency est généralement le résultat d'événements initiés par le client, par exemple lorsqu'il contacte le service client. Lorsque vous contactez le personnel du service client pour résoudre un problème, il n'a accès qu'aux données peu sensibles. Par exemple, si vous avez perdu l'accès à un bucket, le personnel du service client n'a accès qu'aux données peu sensibles, comme le nom du bucket.

Panne ou défaillance de l'outil

En cas de panne ou de défaillance d'un outil, le personnel Google peut accéder aux données client pour effectuer une sauvegarde ou une récupération si nécessaire. Dans ces situations, le personnel Google utilise des outils qui peuvent accéder directement aux données client pour maximiser l'efficacité et résoudre le problème rapidement. Ces outils enregistrent cet accès et les justifications fournies par les ingénieurs. L'accès est également audité et consigné par l'équipe Google chargée de la réponse aux incidents de sécurité. Les services Google Cloud compatibles génèrent des journaux Access Transparency qui sont visibles pour vous en cas d'indisponibilité. En cas d'indisponibilité, les ingénieurs ne peuvent pas contourner la liste d'autorisation pour la ressource, mais ils peuvent accéder aux données sans votre approbation.

Les demandes légales de tiers sont rares, et seule l'équipe juridique peut générer une justification d'accès légal valide. L'équipe juridique examine la demande pour s'assurer qu'elle répond aux exigences légales et aux règles de Google, vous envoie une notification lorsque la loi l'y autorise et examine les objections à la divulgation des données dans la mesure où la loi le permet. Pour en savoir plus, consultez Demandes gouvernementales concernant les données des clients Cloud (PDF).

Examen initié par Google

Les examens initiés par Google sont également rares. Lorsqu'ils se produisent, ils doivent s'assurer que les données client sont sécurisées, protégées et n'ont pas été compromises. Ces examens sont principalement effectués pour des raisons de sécurité, de fraude, d'abus ou d'audits de conformité. Par exemple, si des détecteurs automatisés de minage de bitcoins détectent qu'une VM est utilisée pour le minage de bitcoins, Google examine le problème et confirme qu'un logiciel malveillant sur un appareil VM épuise la capacité de la VM. Google supprime le logiciel malveillant pour que l'utilisation de la VM revienne à la normale.

Comment Google contrôle et surveille l'accès aux données client

Les contrôles internes de Google incluent les éléments suivants :

  • Systèmes de contrôle omniprésents à l'échelle de l'infrastructure pour empêcher tout accès non autorisé
  • Détection et correction des accès non autorisés grâce à des contrôles continus
  • Surveillance, alertes en cas de non-respect et audits réguliers par une équipe d'audit interne et des auditeurs tiers indépendants

Pour en savoir plus sur la façon dont Google sécurise l'infrastructure physique, consultez la présentation de la conception de la sécurité sur l'infrastructure de Google.

Commandes à l'échelle de l'infrastructure

Google a conçu son infrastructure en plaçant la sécurité au cœur de son fonctionnement. L'infrastructure mondiale de Google étant assez homogène, Google peut utiliser une infrastructure automatisée pour implémenter des contrôles et limiter l'accès privilégié. Les sections suivantes décrivent certains des contrôles qui permettent d'appliquer nos principes d'accès privilégié.

Authentification forte pour tous les accès

Google impose des exigences d'authentification strictes pour l'accès aux données par les utilisateurs (comme un employé) et les rôles (comme un service). Les jobs exécutés dans notre environnement de production utilisent ces identités pour accéder aux entrepôts de données ou aux méthodes d'appel de procédure à distance (RPC) d'autres services. Plusieurs jobs peuvent être exécutés avec la même identité. Notre infrastructure limite la possibilité de déployer ou de modifier des tâches possédant une identité particulière aux personnes responsables de l'exécution du service, généralement nos ingénieurs en fiabilité des sites (SRE). Lorsqu'une tâche démarre, elle est provisionnée avec des identifiants chiffrés. La tâche utilise ces identifiants pour prouver son identité lors de demandes à d'autres services (au moyen d'Application Layer Transport Security (ALTS)).

Accès contextuel

Pour atteindre un niveau de sécurité "zéro confiance", l'infrastructure de Google utilise le contexte pour authentifier et autoriser les utilisateurs et les appareils. Les décisions d'accès ne reposent pas exclusivement sur des identifiants statiques ni sur le fait qu'elles proviennent ou non d'un intranet d'entreprise. Le contexte complet d'une requête (identité de l'utilisateur, localisation, propriété et configuration de l'appareil, et règles d'accès précises, par exemple) est évalué afin de déterminer sa validité et d'assurer la protection contre les tentatives d'hameçonnage et les logiciels malveillants voleurs d'identifiants.

En utilisant le contexte, chaque demande d'authentification et d'autorisation doit utiliser des mots de passe forts avec des jetons de sécurité ou d'autres protocoles d'authentification à deux facteurs. Les utilisateurs authentifiés et les appareils vérifiés bénéficient d'un accès limité et temporaire aux ressources nécessaires. Les inventaires des machines sont gérés de manière sécurisée, et l'état de chaque appareil connecté (par exemple, les mises à jour de l'OS, les correctifs de sécurité, les certificats d'appareil, les logiciels installés, les analyses antivirus et l'état du chiffrement) est évalué pour identifier les risques de sécurité potentiels.

Par exemple, Chrome Enterprise Premium permet de s'assurer que les identifiants des employés ne sont pas volés ni utilisés à mauvais escient, et que les appareils connectés ne sont pas compromis. En offrant un contrôle d'accès non plus au niveau du périmètre réseau, mais au niveau du contexte des utilisateurs et appareils individuels, Chrome Enterprise Premium permet également au personnel Google de travailler de façon plus sécurisée où qu'il soit, sans avoir besoin d'un VPN.

Examen et autorisation de tous les logiciels de production

Notre infrastructure est conteneurisée grâce à un système de gestion de clusters appelé Borg. L'autorisation binaire pour Borg garantit que les logiciels de production sont examinés et approuvés avant d'être déployés, en particulier lorsque notre code peut accéder à des données sensibles. L'autorisation binaire pour Borg permet de s'assurer que les déploiements de code et de configuration respectent certaines normes, et alerte les propriétaires de services lorsque ces exigences ne sont pas respectées. En exigeant que le code réponde à certaines normes et pratiques de gestion du changement avant d'accéder aux informations sur les utilisateurs, l'autorisation binaire pour Borg réduit le risque qu'un employé Google (ou un compte piraté) agisse seul pour accéder aux informations sur les utilisateurs de manière automatisée.

Accéder aux fichiers journaux

L'infrastructure Google enregistre les accès aux données et les modifications de code. Voici les types de journaux disponibles :

  • Journaux client : disponibles avec Cloud Audit Logs.

  • Journaux des accès administrateur : disponibles avec Access Transparency.

  • Journaux d'intégrité du déploiement : journaux internes sur les exceptions qui sont surveillées par une équipe de sécurité centrale dédiée à l'audit de l'accès aux données client. La surveillance des exceptions permet de protéger les données sensibles et d'améliorer la fiabilité de la production. La surveillance des exceptions permet de s'assurer que le code source non examiné ou non envoyé ne s'exécute pas dans des environnements privilégiés, que ce soit accidentellement ou à la suite d'une attaque délibérée.

Détection et réponse aux incidents

Pour détecter les cas de non-respect présumés des règles d'accès et y répondre, Google fait appel à des équipes d'enquête internes spécialisées, ainsi qu'à des contrôles manuels et automatisés qui combinent l'apprentissage automatique, des pipelines de traitement des données avancés et des incidents liés au renseignement sur les menaces.

Développement de signaux

L'intelligence sur les menaces est au cœur des capacités de détection et de réponse de Google. Elle est renforcée par l'analyse continue des incidents passés, du trafic réseau, des données internes, des journaux d'accès au système, des schémas de comportement anormaux, des résultats des exercices de sécurité offensive et de nombreuses autres alertes propriétaires. Ces données sont analysées par des équipes dédiées qui produisent une base de données dynamique de signaux, ou indicateurs de menace, qui incluent l'ensemble de Google. Les équipes d'ingénierie utilisent des indicateurs de menace pour développer des systèmes de détection spécialisés afin de surveiller les systèmes internes pour détecter les activités malveillantes, alerter le personnel approprié et mettre en œuvre des réponses automatisées (par exemple, révoquer l'accès à une ressource).

Détection des menaces

Les menaces sont principalement détectées en analysant les journaux et en faisant correspondre les entrées de journal aux indicateurs de menace. Grâce à l'authentification forte, Google peut faire la distinction entre les événements humains, les événements de service et les événements d'usurpation d'identité de service dans les journaux afin de hiérarchiser les enquêtes sur les accès humains réels. Les activités impliquant l'accès aux données utilisateur, au code source et aux informations sensibles sont consignées dans des journaux. Une justification métier ou une exception est requise. Les menaces peuvent inclure une personne qui tente d'effectuer une action unilatérale sur des systèmes sensibles ou d'accéder aux données utilisateur sans motif commercial valide. Des procédures d'alerte sont définies pour ces types d'activités.

l'investigation concernant les incidents ;

Lorsque des cas de non-respect des règles sont détectés, les équipes de sécurité, distinctes des équipes d'ingénierie et d'opérations principales, assurent une surveillance indépendante et mènent une enquête initiale. Les équipes de sécurité effectuent les tâches suivantes :

  • Examinez les détails de l'incident et déterminez si l'accès était intentionnel, non intentionnel, accidentel, causé par un bug ou une erreur de configuration, ou s'il résulte de contrôles inadéquats (par exemple, un pirate informatique externe qui vole et utilise les identifiants d'un employé compromis).
  • Si l'accès est involontaire ou accidentel (par exemple, si le personnel Google n'avait pas connaissance des protocoles d'accès ou les a enfreints par erreur), les équipes peuvent prendre des mesures immédiates pour résoudre le problème (par exemple, en récupérant la propriété intellectuelle).
  • En cas de comportement malveillant suspecté, l'équipe de sécurité escalade l'incident et collecte des informations supplémentaires, y compris des journaux d'accès aux données et au système, pour déterminer l'étendue et l'impact de l'incident.
  • En fonction des résultats de cette enquête, l'équipe de sécurité soumet les incidents pour une enquête, une documentation et une résolution supplémentaires ou, dans les cas extrêmes, les signale aux autorités extérieures ou aux forces de l'ordre.

Correction

L'équipe de sécurité utilise les incidents passés pour identifier et résoudre les failles, et améliorer les capacités de détection. Tous les incidents sont documentés et les métadonnées sont extraites pour identifier les tactiques, techniques et procédures spécifiques à chaque exploitation. L'équipe utilise ces données pour développer de nouveaux indicateurs de menace, renforcer les protections existantes ou demander des améliorations de sécurité.

Services qui surveillent et contrôlent l'accès de Google aux données

Les services suivants Google Cloud vous permettent de contrôler l'accès de Google à vos données et d'en avoir une visibilité.

ServiceGoogle Cloud Description

Access Approval

Si vous disposez de données très sensibles ou restreintes, Access Approval vous permet d'exiger votre approbation avant qu'un administrateur Google autorisé puisse accéder à vos données pour vous aider. Les demandes d'accès approuvées sont consignées dans les journaux Access Transparency associés à la demande d'approbation. Une fois que vous avez approuvé une demande, l'accès doit être correctement privilégié dans Google avant d'être autorisé. Pour obtenir la liste des servicesGoogle Cloud compatibles avec Access Approval, consultez Services compatibles.

Access Transparency

Les journaux Access Transparency enregistrent les accès administratifs du personnel Google autorisé lorsqu'il aide votre organisation ou maintient la disponibilité du service. Pour obtenir la liste des services Google Cloud compatibles avec Access Transparency, consultez Services compatibles.

Assured Workloads

Utilisez Assured Workloads si votre entreprise a besoin d'une assistance régionale dédiée, de programmes réglementaires certifiés (par exemple, FedRAMP ou ITAR) ou de programmes tels que les contrôles souverains pour l'UE. Assured Workloads fournit aux utilisateurs Google Cloud un workflow d'activation pour créer et surveiller la durée de vie des packages de contrôles dont vous avez besoin.

Cloud KMS

Utilisez Cloud KMS avec Cloud EKM pour contrôler vos clés de chiffrement. Cloud KMS avec Cloud EKM vous permet de chiffrer des données à l'aide de clés de chiffrement stockées et gérées dans un système de gestion de clés tiers déployé en dehors de l'infrastructure de Google. Cloud EKM vous permet de séparer les données au repos et les clés de chiffrement tout en profitant de la puissance du cloud pour le calcul et l'analyse.

Informatique confidentielle

Utilisez l'informatique confidentielle pour chiffrer les données en cours d'utilisation. Google Cloud inclut les services suivants qui permettent l'informatique confidentielle :

  • Confidential VM : activez le chiffrement des données utilisées pour les charges de travail qui utilisent des VM.
  • Nœuds Confidential Google Kubernetes Engine : activez le chiffrement des données en cours d'utilisation pour les charges de travail qui utilisent des conteneurs.
  • Dataflow confidentiel : activez le chiffrement des données en cours d'utilisation pour l'analyse de flux et le machine learning.
  • Managed Service pour Apache Spark confidentiel : activez le chiffrement des données en cours d'utilisation pour le traitement des données.
  • Espace confidentiel : activez le chiffrement des données en cours d'utilisation pour l'analyse conjointe des données et le machine learning.

Ces services vous permettent de réduire votre périmètre de confiance afin que moins de ressources aient accès à vos données confidentielles. Pour en savoir plus, consultez Implémenter l'informatique confidentielle sur Google Cloud.

Key Access Justifications

Utilisez Key Access Justifications pour la souveraineté et la découverte des données.

Key Access Justifications vous fournit une justification chaque fois que vos clés hébergées en externe sont utilisées pour déchiffrer des données. Key Access Justifications nécessite Cloud KMS avec Cloud HSM ou Cloud KMS avec Cloud EKM pour vous offrir un contrôle avancé sur vos données. Vous devez approuver l'accès avant que le personnel Google puisse déchiffrer vos données au repos.

Étapes suivantes