Contrôles Cloud Storage pour les cas d'utilisation de l'IA générative

La contrainte booléenne storage.publicAccessPrevention empêche l'accès aux ressources existantes et futures sur Internet. Elle désactive et bloque les listes de contrôle des accès (LCA) et les autorisations Identity and Access Management (IAM) qui accordent l'accès à allUsers et allAuthenticatedUsers.

La contrainte booléenne storage.uniformBucketLevelAccess exige que les buckets utilisent l'accès uniforme au niveau du bucket. L'accès uniforme au niveau du bucket vous permet d'utiliser uniquement les autorisations Identity and Access Management (IAM) au niveau du bucket pour accorder l'accès à vos ressources Cloud Storage.

Une clé HMAC est un type d'identifiant à longue durée de vie associé à un compte de service ou à un compte utilisateur dans Cloud Storage. Utilisez une clé HMAC pour créer des signatures incluses dans les requêtes envoyées à Cloud Storage. Une signature prouve qu'un utilisateur ou un compte de service a autorisé une requête.

Contrairement aux identifiants éphémères (tels que Contrairement aux jetons OAuth 2.0, les clés HMAC n'expirent pas automatiquement et restent valides jusqu'à ce qu'elles soient révoquées manuellement. Les clés HMAC sont des identifiants à haut risque. Si elles sont compromises, elles permettent d'accéder de manière persistante à vos ressources. Vous devez vous assurer que des mécanismes appropriés sont en place pour les protéger.

Les comptes de service sont des identités non humaines conçues pour les applications. Leur comportement est prévisible et automatisé. En règle générale, les comptes de service n'ont pas besoin de lister les buckets, car ils sont déjà mappés. Par conséquent, si vous détectez un compte de service qui tente de récupérer la liste de tous les buckets Cloud Storage, examinez-le immédiatement. L'énumération de reconnaissance est souvent utilisée comme technique de reconnaissance par un acteur malveillant qui a obtenu l'accès au compte de service.

Configurez une alerte qui détecte lorsqu'une stratégie IAM de bucket Cloud Storage est modifiée pour accorder un accès public. Cette alerte se déclenche lorsque les comptes principaux allUsers ou allAuthenticatedUsers sont ajoutés à la stratégie IAM d'un bucket. Cette alerte est un événement critique de haute gravité, car elle peut exposer toutes les données du bucket. Examinez immédiatement cette alerte pour confirmer si la modification a été autorisée ou si elle est le signe d'une mauvaise configuration ou d'un acteur malveillant.

Dans l'alerte, définissez l'attribut JSON data.protoPayload.serviceData.policyData.bindingDeltas.member sur allUsers ou allAuthenticatedUsers, et l'action sur ADD.

En fonction de vos exigences réglementaires, assurez-vous que la règle de conservation de chaque bucket Cloud Storage est verrouillée. Définissez la durée de conservation sur une période qui répond à vos besoins.

Appliquez des règles de cycle de vie à chaque bucket Cloud Storage dont le type d'action est SetStorageClass.

Assurez-vous que la gestion du cycle de vie de Cloud Storage est activée et configurée. Le contrôle du cycle de vie contient la configuration du cycle de vie du stockage. Vérifiez que les règles de ce paramètre correspondent à vos exigences.

Assurez-vous que les règles de gestion du cycle de vie pour Cloud Storage sont activées et configurées. Le contrôle des règles contient la configuration du cycle de vie du stockage. Vérifiez que les règles de ce paramètre correspondent à vos exigences.

Identifiez tous les objets pour lesquels temporaryHold est défini sur TRUE, puis lancez un processus d'investigation et de validation. Cette évaluation convient aux cas d'utilisation suivants :

• Préservation à titre conservatoire : pour respecter les exigences légales en matière de stockage de données, vous pouvez utiliser une préservation temporaire afin d'empêcher la suppression de données sensibles pouvant être pertinentes pour des enquêtes ou des litiges en cours.
• Protection contre la perte de données : pour éviter la suppression accidentelle de données importantes, vous pouvez utiliser la conservation temporaire comme mesure de sécurité pour protéger les informations critiques de votre entreprise.
• Modération de contenu : pour examiner les contenus potentiellement sensibles ou inappropriés avant qu'ils ne deviennent accessibles au public, appliquez une suspension temporaire aux contenus importés dans Cloud Storage afin de les inspecter plus en détail et de prendre une décision de modération.

Assurez-vous que tous les buckets Cloud Storage disposent d'une règle de conservation.

La classification des données est un élément fondamental de tout programme de gouvernance et de sécurité des données. Il est essentiel d'appliquer un libellé de classification avec des valeurs telles que "public", "interne", "confidentiel" ou "limité" à chaque bucket.

Vérifiez que google_storage_bucket.labels comporte une expression pour la classification et créez un cas de non-respect si ce n'est pas le cas.

Assurez-vous que chaque bucket Cloud Storage inclut un bucket de journaux.

Dans Cloud Storage, storage.buckets/lifecycle.rule.action.type fait référence au type d'action à effectuer sur un objet spécifique en fonction d'une règle de cycle de vie dans un bucket. Cette configuration permet d'automatiser la gestion et le cycle de vie de vos données stockées dans le cloud.

Configurez storage.buckets/lifecycle.rule.action.type pour vous assurer que les objets sont définitivement supprimés du bucket.

Pour les règles de suppression, assurez-vous que la condition isLive de la règle est définie sur false.

Dans Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive est une condition booléenne utilisée dans les règles de cycle de vie pour déterminer si un objet est considéré comme actif. Ce filtre permet de s'assurer que les actions d'une règle de cycle de vie ne sont appliquées qu'aux objets souhaités en fonction de leur état actif.

Cas d'utilisation :

• Archiver les versions historiques : archivez uniquement les versions obsolètes des objets pour réduire les coûts de stockage tout en gardant la dernière version facilement accessible.
• Nettoyer les objets supprimés : automatisez la suppression définitive des objets supprimés par les utilisateurs pour libérer de l'espace dans le bucket.
• Protéger les données actives : assurez-vous que les actions telles que la définition de préservations temporaires ne sont appliquées qu'aux objets actifs, ce qui évite toute modification accidentelle des versions archivées ou supprimées.

Assurez-vous que la gestion des versions est activée pour tous les buckets Cloud Storage. Voici quelques cas d'utilisation :

• Protection et récupération des données : protégez-vous contre la perte accidentelle de données en empêchant l'écrasement et en permettant la récupération des données supprimées ou modifiées.
• Conformité et audit : conservez un historique de toutes les modifications apportées aux objets à des fins de conformité réglementaire ou d'audit interne.
• Contrôle des versions : suivez les modifications apportées aux fichiers et aux ensembles de données, ce qui permet la collaboration et le retour aux versions précédentes si nécessaire.

Assurez-vous que google_storage_bucket.labels comporte une expression pour un propriétaire.

Activez la journalisation supplémentaire pour des objets de stockage spécifiques en fonction de leur cas d'utilisation. Par exemple, enregistrez l'accès aux buckets de données sensibles pour pouvoir savoir qui y a accédé et quand. Lorsque vous activez la journalisation supplémentaire, tenez compte du volume de journaux que vous pourriez générer.