Une stratégie de sécurité vous permet de définir et de gérer l'état de sécurité de vos ressources cloud, y compris votre réseau et vos services cloud. Vous pouvez utiliser une stratégie de sécurité pour évaluer l'état actuel de votre sécurité cloud par rapport à des benchmarks définis, ce qui vous aide à maintenir le niveau de sécurité requis par votre organisation. Une stratégie de sécurité vous aide à détecter et à atténuer toute dérive par rapport au benchmark que vous avez défini. Définir et maintenir une stratégie de sécurité qui correspond aux besoins de votre entreprise vous permet de réduire les risques de cybersécurité pour votre organisation et contribue à empêcher les attaques.
Dans Google Cloud, vous pouvez utiliser le service de stratégie de sécurité de Security Command Center pour définir et déployer une stratégie de sécurité, surveiller l'état de sécurité de vos Google Cloud ressources, ainsi que gérer toute dérive (ou modification non autorisée) par rapport à la stratégie définie que vous aurez identifiée.
Avantages et applications
Le service de stratégie de sécurité est un service intégré à Security Command Center qui vous permet de définir, d'évaluer et de surveiller l'état global de votre sécurité dans. Google CloudLe service de stratégie de sécurité n'est disponible que si vous souscrivez un abonnement au niveau Security Command Center Premium ou Enterprise, et que vous activez Security Command Center au niveau de l'organisation.
Vous pouvez utiliser le service de stratégie de sécurité pour atteindre les objectifs suivants :
Vous assurer que vos charges de travail sont conformes aux normes de sécurité, aux réglementations de conformité et aux exigences de sécurité personnalisées de votre organisation.
Appliquer vos contrôles de sécurité aux Google Cloud projets, aux dossiers ou aux organisations avant de déployer des charges de travail.
Surveiller en continu et résoudre toute dérive par rapport aux contrôles de sécurité que vous avez définis.
Le service de stratégie de sécurité est automatiquement activé lorsque vous activez Security Command Center au niveau de l'organisation.
Composants du service
Le service de stratégie de sécurité comprend les composants suivants :
Stratégie
Un ou plusieurs ensembles de règles qui appliquent les contrôles préventifs et de détection dont votre organisation a besoin pour respecter sa norme de sécurité Vous pouvez déployer des stratégies au niveau de l'organisation, du dossier ou du projet. Pour obtenir la liste des modèles de stratégie, consultez la section Modèles de stratégie prédéfinis.
Ensembles de règles
Ensemble d'exigences de sécurité et de contrôles associés dans Google Cloud. En règle générale, un ensemble de règles comprend toutes les règles qui vous permettent de répondre aux exigences d'une norme de sécurité ou d'une réglementation de conformité particulière.
Règle
Contrainte ou restriction particulière qui contrôle ou surveille le comportement des ressources dans Google Cloud. Les règles peuvent être préventives (par exemple, les contraintes liées aux règles d'administration) ou de détection (par exemple, les détecteurs Security Health Analytics). Les règles compatibles sont les suivantes :
Contraintes liées aux règles d'administration, y compris les contraintes personnalisées
Détecteurs Security Health Analytics, y compris les modules personnalisés
Déploiement de stratégie
Une fois que vous avez créé une stratégie, vous la déployez afin que vous puissiez appliquer la stratégie à l'organisation, aux dossiers ou aux projets que vous souhaitez gérer à l'aide de la stratégie.
Le schéma suivant présente les composants d'un exemple de stratégie de sécurité.
Modèles de stratégie prédéfinis
Le service de stratégie de sécurité inclut des modèles de stratégie prédéfinis qui respectent une norme de conformité ou une norme recommandée par Google, comme les recommandations du plan de base de l'entreprise. Vous pouvez utiliser ces modèles pour créer des stratégies de sécurité qui s'appliquent à votre entreprise. Le tableau suivant décrit les modèles de stratégie.
| Modèle de stratégie | Nom du modèle | Description |
|---|---|---|
| Sécurisé par défaut, essentiel | secure_by_default_essential |
Ce modèle met en œuvre les règles qui permettent d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Vous pouvez déployer ce modèle sans le modifier. |
| Sécurisé par défaut, étendu | secure_by_default_extended |
Ce modèle met en œuvre les règles qui permettent d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
| Recommandations d'IA sécurisées, essentiel | secure_ai_essential |
Ce modèle met en œuvre des règles qui vous aident à sécuriser les charges de travail de Gemini et de Gemini Enterprise Agent Platform. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations d'IA sécurisées, étendu | secure_ai_extended |
Ce modèle met en œuvre des règles qui vous aident à sécuriser les charges de travail de Gemini et de Gemini Enterprise Agent Platform. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
| Recommandations BigQuery, essentiel | big_query_essential |
Ce modèle met en œuvre des règles qui vous aident à sécuriser BigQuery. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations Cloud Storage, essentiel | cloud_storage_essential |
Ce modèle met en œuvre des règles qui vous aident à sécuriser Cloud Storage. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations Cloud Storage, étendu | cloud_storage_extended |
Ce modèle met en œuvre des règles qui vous aident à sécuriser Cloud Storage. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
| Recommandations VPC, essentiel | vpc_networking_essential |
Ce modèle met en œuvre des règles qui vous aident à sécuriser le cloud privé virtuel (VPC). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations VPC, étendu | vpc_networking_extended |
Ce modèle met en œuvre des règles qui vous aident à sécuriser le VPC. Avant de déployer ce modèle, vous devez le personnaliser pour l'adapter à votre environnement. |
| Recommandations du benchmark v2.0.0 de la plate-forme Google Cloud Computing du Center for Internet Security (CIS) | cis_2_0 |
Ce modèle met en œuvre des règles qui vous aident à détecter lorsque votre Google Cloud environnement n'est pas aligné sur le benchmark v2.0.0 de la plate-forme Google Cloud Computing du CIS. Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme NIST SP 800-53 | nist_800_53 |
Ce modèle met en œuvre des règles qui vous aident à détecter lorsque votre Google Cloud environnement n'est pas aligné sur la norme SP 800-53 du National Institute of Standards and Technology (NIST). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme ISO 27001 | iso_27001 |
Ce modèle met en œuvre des règles qui vous aident à détecter lorsque votre Google Cloud environnement n'est pas aligné sur la norme 27001 de l'Organisation internationale de normalisation (ISO). Vous pouvez déployer ce modèle sans le modifier. |
| Recommandations de la norme PCI DSS | pci_dss_v_3_2_1 |
Ce modèle met en œuvre des règles qui vous aident à détecter lorsque votre Google Cloud environnement n'est pas aligné sur la version 3.2.1 et la version 1.0 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Vous pouvez déployer ce modèle sans le modifier. |
Déploiement de stratégie et surveillance des dérives
Pour appliquer une stratégie avec toutes ses règles à une Google Cloud ressource, vous devez la déployer. Vous pouvez spécifier le niveau de la hiérarchie des ressources (organisation, dossier ou projet) auquel la stratégie s'applique. Vous ne pouvez déployer qu'une seule stratégie par organisation, dossier ou projet.
Les stratégies sont héritées par les dossiers et projets enfants. Par conséquent, si vous déployez des stratégies au niveau de l'organisation et au niveau du projet, toutes les règles des deux stratégies s'appliquent aux ressources du projet. En cas de différences dans les définitions de règles (par exemple, une règle est définie sur "Autoriser" au niveau de l'organisation et sur "Refuser" au niveau du projet), la stratégie de niveau inférieur est utilisée par les ressources de ce projet.
Nous vous recommandons de déployer une stratégie au niveau de l'organisation qui inclut des règles pouvant s'appliquer à l'ensemble de votre entreprise. Vous pouvez ensuite appliquer des règles plus strictes aux dossiers ou aux projets qui en ont besoin. Par exemple, si vous utilisez le plan de base de l'entreprise pour configurer votre infrastructure, vous créez certains projets (par exemple, prj-c-kms) qui sont spécifiquement créés pour contenir les clés de chiffrement de tous les projets d'un dossier. Vous pouvez utiliser une stratégie de sécurité pour définir la
constraints/gcp.restrictCmekCryptoKeyProjects
contrainte liée aux règles d'administration sur le dossier common et les dossiers d'environnement
(development, nonproduction et production), de sorte que tous les projets n'utilisent que
les clés des projets de clés.
Une fois votre stratégie déployée, vous pouvez surveiller votre environnement pour détecter toute dérive par rapport à la stratégie que vous avez définie. Security Command Center signale les instances de dérive sous forme de résultats que vous pouvez examiner, filtrer et résoudre. De plus, vous pouvez exporter ces résultats de la même manière que vous exportez d'autres résultats de Security Command Center. Pour en savoir plus, consultez la page Exporter des données de Security Command Center.
Intégration à Gemini Enterprise Agent Platform et Gemini
Vous pouvez utiliser des stratégies de sécurité pour vous aider à maintenir la sécurité de vos charges de travail d'IA. Le service de stratégie de sécurité inclut les éléments suivants :
Modèles de stratégie prédéfinis spécifiques aux charges de travail d'IA.
Un volet sur la page Présentation qui vous permet de surveiller les failles détectées par les modules personnalisés Security Health Analytics qui s'appliquent à l'IA, et d'afficher toute dérive par rapport aux règles d'administration de la plate-forme Gemini Enterprise Agent définies dans une stratégie.
Intégration d'AWS
Si vous connectez Security Command Center Enterprise à AWS pour collecter des données de configuration et de ressources, le service Security Health Analytics inclut des détecteurs intégrés qui peuvent surveiller votre environnement AWS et créer des résultats.
Lorsque vous créez ou modifiez un fichier de stratégie, vous pouvez inclure des détecteurs Security Health Analytics spécifiques à AWS. Vous devez déployer ce fichier de stratégie au niveau de l'organisation.
Limites du service
Le service de stratégie de sécurité inclut les limites suivantes :
- 100 stratégies maximum dans une organisation.
- 400 règles maximum dans une stratégie.
- 1 000 déploiements de stratégie maximum dans une organisation.