Contrôles de base sécurisés pour les cas d'utilisation de l'IA générative en entreprise

Utilisez la contrainte booléenne automaticIamGrantsForDefaultServiceAccounts pour désactiver l'attribution automatique de rôles lorsque les services Google Cloud créent automatiquement des comptes de service par défaut avec des rôles trop permissifs.

Par défaut, certains systèmes accordent des autorisations trop larges aux comptes automatisés, ce qui constitue un risque de sécurité potentiel. Par exemple, si vous n'appliquez pas cette contrainte et que vous créez un compte de service par défaut, le rôle Éditeur (roles/editor) lui est automatiquement attribué sur votre projet. Si un pirate informatique parvient à compromettre une seule partie du système, il peut prendre le contrôle de l'ensemble du projet. Cette contrainte désactive ces autorisations automatiques de haut niveau, ce qui impose une approche plus sécurisée et délibérée où seules les autorisations minimales nécessaires sont accordées.

Utilisez la contrainte booléenne iam.disableServiceAccountKeyCreation pour désactiver la création de clés de compte de service externes. Cette contrainte vous permet de contrôler l'utilisation des identifiants à long terme non gérés pour les comptes de service. Lorsque cette contrainte est définie, vous ne pouvez pas créer d'identifiants gérés par l'utilisateur pour les comptes de service dans les projets affectés par la contrainte.

Utilisez la contrainte booléenne iam.disableServiceAccountKeyUpload pour désactiver l'importation de clés publiques externes dans des comptes de service. Lorsque cette contrainte est définie, les utilisateurs ne peuvent pas importer de clés publiques dans les comptes de service de projets affectés par la contrainte.

Google recommande les clés de sécurité Titan pour la validation en deux étapes des comptes de super-administrateur. Toutefois, pour les cas d'utilisation où cela n'est pas possible, nous vous recommandons d'utiliser une autre clé de sécurité.

Appliquez la validation en deux étapes pour une unité organisationnelle spécifique ou pour l'ensemble de l'organisation. Nous vous recommandons de créer une UO pour les super-administrateurs et d'y appliquer la validation en deux étapes.

Vous n'avez pas de super-administrateur ni d'administrateur de l'organisation. Créez un ou plusieurs comptes administrateur de secours (20 au maximum). Un seul super-administrateur ou administrateur de l'organisation peut entraîner des scénarios de blocage. Cette situation présente également un risque plus élevé, car une seule personne peut apporter des modifications à la plate-forme, potentiellement sans surveillance.

Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Utilisez les tags et l'application conditionnelle de règles pour un contrôle ultraprécis de votre hiérarchie de ressources.

Utilisez Cloud Audit Logs pour surveiller les activités à haut risque, comme l'attribution de rôles à haut risque (administrateur de l'organisation et super-administrateur, par exemple) à des comptes. Configurez des alertes pour ce type d'activité.

Pour éviter d'accorder un accès excessif à Google Cloud, bloquez l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity.

Grâce à l'accès contextuel, vous pouvez créer des règles de sécurité précises pour le contrôle des accès aux applications, sur la base d'attributs comme l'identité des utilisateurs, le lieu, le niveau de sécurité des appareils et l'adresse IP. Nous vous recommandons d'utiliser l'accès contextuel pour limiter l'accès à la console Google Cloud (https://console.cloud.google.com/) et à la console d'administration Google (https://admin.cloud.google.com).

Google Cloud est compatible avec plusieurs versions du protocole TLS. Pour répondre aux exigences de conformité, vous pouvez refuser les demandes d'établissement de liaison des clients qui utilisent d'anciennes versions de TLS.

Pour configurer ce contrôle, utilisez la contrainte de règle d'administration Limiter les versions TLS (gcp.restrictTLSVersion). Vous pouvez appliquer cette contrainte aux organisations, aux dossiers ou aux projets dans la hiérarchie des ressources. La contrainte Restreindre les versions TLS utilise une liste d'interdiction, qui refuse les valeurs explicites et autorise toutes les autres. Une erreur se produit si vous essayez d'utiliser une liste d'autorisation.

En raison du comportement de l'évaluation de la hiérarchie des règles d'administration, la restriction de version TLS s'applique au nœud de ressource spécifié et à tous ses dossiers et projets (enfants). Par exemple, si vous refusez la version 1.0 de TLS pour une organisation, elle est également refusée pour tous les enfants qui en dépendent.

Vous pouvez remplacer la restriction de version TLS héritée en modifiant la règle d'administration sur une ressource enfant. Par exemple, si votre règle d'administration refuse TLS 1.0 au niveau de l'organisation, vous pouvez supprimer la restriction pour un dossier enfant en définissant une règle d'administration distincte pour ce dossier. Si le dossier comporte des enfants, la règle du dossier sera également appliquée à chaque ressource enfant en raison de l'héritage des règles.

Pour limiter davantage la version TLS à TLS 1.3 uniquement, vous pouvez définir cette règle pour limiter également la version TLS 1.2. Vous devez implémenter ce contrôle sur les applications que vous hébergez dans Google Cloud. Par exemple, au niveau de l'organisation, définissez :

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Assurez-vous que seules les identités de votre organisation sont autorisées dans votre environnement Google Cloud . Utilisez la contrainte de règle d'administration Partage restreint au domaine (iam.allowedPolicyMemberDomains) ou iam.managed.allowedPolicyMembers pour définir un ou plusieurs ID client Cloud Identity ou Google Workspace dont les comptes principaux peuvent être ajoutés aux stratégies Identity and Access Management (IAM).

Ces contraintes permettent d'empêcher les employés d'accorder l'accès à des comptes externes qui ne respectent pas les règles de sécurité de votre organisation concernant l'authentification multifacteur (MFA) ou la gestion des mots de passe. Ce contrôle est essentiel pour empêcher les accès non autorisés et s'assurer que seules les identités d'entreprise gérées et fiables peuvent être utilisées.

La contrainte gcp.restrictServiceUsage garantit que seuls vos services Google Cloud approuvés sont utilisés aux bons endroits. Par exemple, un dossier de production ou très sensible dispose d'une petite liste de services Google Cloud autorisés à stocker des données. Un dossier sandbox peut contenir une liste plus longue de services et de contrôles de sécurité des données associés pour empêcher l'exfiltration de données. La valeur est spécifique à vos systèmes et correspond à la liste approuvée de services et de dépendances pour des dossiers et projets spécifiques.

Cette contrainte permet à votre organisation de créer une liste d'autorisation des services approuvés, ce qui permet d'empêcher les employés d'utiliser des services non vérifiés.

La contrainte de restriction d'emplacement des ressources (gcp.resourceLocations) garantit que seules vos régions approuvées Google Cloud sont utilisées pour stocker les données. La valeur est spécifique à vos systèmes et correspond à la liste des régions approuvées par votre organisation pour la résidence des données.

Cette contrainte permet à votre organisation de s'assurer que vos ressources et vos données ne sont créées et enregistrées que dans des régions géographiques spécifiques approuvées.

La contrainte booléenne compute.skipDefaultNetworkCreation permet d'ignorer la création du réseau par défaut et des ressources associées lors de la création de projets Google Cloud .

Le réseau par défaut est un réseau cloud privé virtuel (VPC) en mode automatique avec des règles de pare-feu IPv4 préremplies pour autoriser les chemins de communication internes. En général, cette configuration n'est pas recommandée pour la sécurité des environnements de production.

Les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine. Elle n'offre aucune protection de la confidentialité pour ces recherches, mais empêche les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.

Dans Cloud DNS, activez DNSSEC aux emplacements suivants :

• Zone DNS
• Domaine de premier niveau (TLD)
• Résolution DNS

Pour chaque périmètre de service, vérifiez dans la console Google Cloud que le type de périmètre est défini sur "Standard".

Pour chaque périmètre de service, utilisez Access Context Manager pour confirmer que le périmètre protège l'API.

La contrainte booléenne compute.setNewProjectDefaultToZonalDNSOnly vous permet de définir le paramètre DNS interne des nouveaux projets sur le DNS zonal uniquement. Utilisez le DNS zonal, car il offre une fiabilité supérieure à celle des zones individuelles, car il isole les défaillances de l'enregistrement DNS .

Si vous utilisez Cloud Identity, partagez les journaux d'audit de Cloud Identity avec Google Cloud.

En règle générale, les journaux d'audit pour les activités d'administration de Google Workspace ou Cloud Identity sont affichés et gérés dans la console d'administration Google séparément de vos journaux dans votre environnement Google Cloud . Ces journaux contiennent des informations pertinentes pour votre environnement Google Cloud , telles que des événements de connexion utilisateur.

Nous vous recommandons de partager les journaux d'audit Cloud Identity avec votre environnement Google Cloud pour gérer les journaux de manière centralisée à partir de toutes les sources.

Les servicesGoogle Cloud génèrent des entrées dans les journaux d'audit pour répondre à la question "qui a fait quoi, où et quand ?" avec les ressources Google Cloud .

Activez la journalisation d'audit au niveau de l'organisation. Vous pouvez configurer la journalisation à l'aide du pipeline que vous utilisez pour configurer l'organisation Google Cloud .

Les journaux de flux VPC enregistrent un échantillon des flux réseau envoyés et reçus par les instances de VM, y compris celles utilisées comme nœuds Google Kubernetes Engine (GKE). Il correspond généralement à 50 % ou moins des flux du réseau VPC.

Lorsque vous activez les journaux de flux VPC, vous activez la journalisation pour toutes les VM d'un sous-réseau. Cependant, vous pouvez réduire la quantité d'informations écrites dans Logging.

Activez les journaux de flux VPC pour chaque sous-réseau VPC. Vous pouvez configurer la journalisation à l'aide d'un pipeline que vous utilisez pour créer un projet.

Par défaut, les règles de pare-feu n'écrivent pas automatiquement de journaux.La journalisation des règles de pare-feu vous permet d'auditer, de vérifier et d'analyser les effets de vos règles de pare-feu. Par exemple, vous pouvez déterminer si une règle de pare-feu conçue pour refuser le trafic fonctionne comme prévu. La journalisation est également utile si vous souhaitez déterminer le nombre de connexions affectées par une règle de pare-feu donnée.

Activez la journalisation pour chaque règle de pare-feu. Vous pouvez configurer la journalisation à l'aide d'un pipeline que vous utilisez pour créer un pare-feu.

Pour savoir qui a accédé aux données dans votre environnement Google Cloud , activez les journaux d'audit des accès aux données. Ces journaux enregistrent les appels d'API qui lisent, créent ou modifient les données utilisateur, ainsi que les appels d'API qui lisent les configurations de ressources.

Nous vous recommandons vivement d'activer les journaux d'audit d'accès aux données pour les modèles d'IA générative et les données sensibles afin de pouvoir vérifier qui a lu les informations. Pour utiliser les journaux d'audit pour l'accès aux données, vous devez configurer votre propre logique de détection personnalisée pour des activités spécifiques, comme les connexions des super-administrateurs.

Le volume des journaux d'audit pour l'accès aux données peut être important. Lorsque vous activez les journaux d'accès aux données, l'utilisation de journaux supplémentaires peut être facturée pour votre projet Google Cloud .

Évitez les mauvaises surprises sur votre facture en créant des budgets Cloud Billing pour surveiller tous vos frais Google Cloud depuis un seul et même endroit. Une fois que vous avez fixé un montant pour votre budget, définissez les règles fixant des seuils d'alertes budgétaires pour chaque projet afin de déclencher des notifications par e-mail. Ces notifications vous aident à suivre vos dépenses par rapport à votre budget. Vous pouvez également utiliser les budgets Cloud Billing pour automatiser les réponses de contrôle des coûts.

Les journaux standards vous indiquent ce que font les utilisateurs de votre organisation, tandis que les journaux Access Transparency indiquent ce que fait l'équipe d'assistance Google lorsqu'elle accède au compte. Cet accès n'est généralement accordé qu'en réponse à une demande d'assistance. Les journaux Access Transparency fournissent une piste d'audit complète et vérifiable de tous les accès, ce qui est essentiel pour répondre aux exigences strictes en termes de conformité et de gouvernance des données.

Vous pouvez activer Access Transparency au niveau de l'organisation.

Pour une analyse plus approfondie de la facturation, vous pouvez exporter les données de facturation Google Cloud vers BigQuery ou un fichier JSON. Par exemple, vous pouvez exporter automatiquement des données détaillées (comme l'utilisation, les estimations de coûts et les tarifs) tout au long de la journée vers un ensemble de données BigQuery que vous spécifiez. Vous pouvez ensuite accéder à vos données Cloud Billing depuis BigQuery pour une analyse détaillée ou utiliser un outil tel que Looker Studio pour les visualiser.

Toutes les données dans Google Cloud sont chiffrées au repos par défaut à l'aide d'algorithmes approuvés par le NIST.

Assurez-vous que Cloud Key Management Service (Cloud KMS) n'utilise que des algorithmes approuvés par le NIST pour stocker les clés sensibles dans l'environnement. Ce contrôle garantit une utilisation sécurisée des clés en n'autorisant que les algorithmes et les mesures de sécurité approuvés par le NIST. Le champ CryptoKeyVersionAlgorithm est une liste d'autorisation fournie.

Supprimez les algorithmes qui ne respectent pas les règles de votre organisation.

Définissez l'objectif des clés Cloud KMS sur ENCRYPT_DECRYPT afin que les clés ne soient utilisées que pour chiffrer et déchiffrer les données. Ce contrôle bloque d'autres fonctions, telles que la signature, et garantit que les clés ne sont utilisées que pour l'usage prévu. Si vous utilisez des clés pour d'autres fonctions, validez ces cas d'utilisation et envisagez de créer des clés supplémentaires.

Le niveau de protection indique comment sont effectuées les opérations de chiffrement. Une fois que vous avez créé une clé de chiffrement gérée par le client (CMEK), vous ne pouvez plus modifier le niveau de protection. Voici les niveaux de protection acceptés :

• LOGICIEL : les opérations de chiffrement sont effectuées dans le logiciel.
• HSM : les opérations de chiffrement sont effectuées dans un module de sécurité matériel (HSM).
• EXTERNAL : les opérations de chiffrement sont effectuées à l'aide d'une clé stockée dans un gestionnaire de clés externe connecté à Google Cloud via Internet. Limité au chiffrement symétrique et à la signature asymétrique.
• EXTERNAL_VPC: : les opérations de chiffrement sont effectuées à l'aide d'une clé stockée dans un gestionnaire de clés externe connecté à Google Cloud via un réseau de cloud privé virtuel (VPC). Limité au chiffrement symétrique et à la signature asymétrique.

Assurez-vous que la période de rotation de vos clés Cloud KMS est définie sur 90 jours. Une bonne pratique générale consiste à alterner régulièrement vos clés de sécurité. Cette commande applique la rotation des clés créées avec les services HSM.

Lorsque vous créez cette période de rotation, créez également des règles et des procédures appropriées pour gérer de manière sécurisée la création, la suppression et la modification du matériel de clé afin de protéger vos informations et d'assurer leur disponibilité. Assurez-vous que cette période respecte les règles de votre entreprise concernant la rotation des clés.

Utilisez la contrainte de règle d'administration Limiter les projets susceptibles de fournir des CryptoKeys de services de gestion des clés comme CMEK (gcp.restrictCmekCryptoKeyProjects) pour définir les projets pouvant stocker des clés de chiffrement gérées par le client (CMEK). Cette contrainte vous permet de centraliser la gouvernance et la gestion des clés de chiffrement. Si une clé sélectionnée ne respecte pas cette contrainte, la création de la ressource échoue.

Pour modifier cette contrainte, les administrateurs ont besoin du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin).

Si vous souhaitez ajouter une deuxième couche de protection, comme "apportez votre propre clé", modifiez cette contrainte pour représenter les noms de clés de la clé CMEK activée.

Spécificités du produit :

• Dans Vertex AI, vous stockez vos clés dans le projet PROJETS DE CLÉS.

Si vous avez besoin de davantage de contrôle sur les opérations de clé que ne le permet Google-owned and Google-managed encryption keys , vous pouvez utiliser les clés de chiffrement gérées par le client (CMEK). Ces clés sont créées et gérées à l'aide de Cloud KMS. Stockez les clés sous forme de clés logicielles, dans un cluster HSM ou dans un système de gestion de clés externe.

Les taux de chiffrement et de déchiffrement de Cloud KMS sont soumis à des quotas.

Spécificités de Cloud Storage

Dans Cloud Storage, utilisez des CMEK sur des objets individuels ou configurez vos buckets Cloud Storage pour qu'ils utilisent une CMEK par défaut sur tous les nouveaux objets ajoutés à un bucket. Lorsque vous utilisez une clé CMEK, un objet est chiffré avec la clé par Cloud Storage au moment de son stockage dans un bucket. L'objet est automatiquement déchiffré par Cloud Storage lorsqu'il est destiné aux demandeurs.

Les restrictions suivantes s'appliquent lorsque vous utilisez des clés CMEK avec Cloud Storage :

• Vous ne pouvez pas chiffrer un objet avec une clé CMEK en mettant à jour les métadonnées de cet objet. À la place, incluez la clé dans le cadre d'une réécriture de l'objet.
• Votre Cloud Storage utilise la commande d'actualisation des objets pour définir des clés de chiffrement sur les objets, mais la commande réécrit l'objet dans le cadre de la requête.
• Vous devez créer le trousseau de clés Cloud KMS au même emplacement que celui des données que vous souhaitez chiffrer. Par exemple, si votre bucket est situé dans us-east1, les trousseaux de clés utilisés pour chiffrer des objets dans ce bucket doivent également être créés dans us-east1.
• Pour la plupart des régions doubles, vous devez créer le trousseau de clés Cloud KMS dans la région multirégionale associée. Par exemple, si votre bucket est situé dans la paire us-east1, us-west1, tout trousseau de clés utilisé pour chiffrer des objets dans ce bucket doit être créé dans la multirégion États-Unis.
• Pour les emplacements birégionaux prédéfinis asia1, eur4 et nam4, vous devez créer le trousseau de clés dans l'emplacement birégional prédéfini.
• La somme de contrôle CRC32C et le hachage MD5 des objets chiffrés avec des clés CMEK ne sont pas renvoyés lorsque vous listez des objets avec l'API JSON.
• L'utilisation d'outils tels que Cloud Storage pour effectuer des requêtes GET de métadonnées supplémentaires sur chaque objet de chiffrement afin de récupérer les informations CRC32C et MD5 peut réduire considérablement la durée de l'opération de listage. Cloud Storage ne peut pas utiliser la partie servant au déchiffrement des clés asymétriques stockées dans Cloud KMS pour déchiffrer automatiquement les objets concernés de la même manière que les CMEK.