Sécurité, confidentialité, risques et conformité pour Spanner

Ce document présente différents contrôles qui assurent la sécurité de Spanner sur Google Cloud et fournit des liens vers des informations supplémentaires sur la configuration de ces contrôles. Les contrôles de sécurité tels que les options de sécurité réseau, les règles et la gestion des accès peuvent vous aider à faire face aux risques commerciaux et à respecter les exigences réglementaires et de confidentialité qui s'appliquent à votre entreprise.

La sécurité, la confidentialité, les risques et la conformité pour Spanner utilisent un modèle de responsabilité partagée. Par exemple, Google sécurise l'infrastructure sur laquelle Spanner et d'autres services Google Cloud s'exécutent, et vous fournit les fonctionnalités qui vous aident à gérer l'accès à vos services et ressources. Pour en savoir plus sur la façon dont nous sécurisons l'infrastructure, consultez la présentation de la conception de la sécurité sur l'infrastructure de Google.

Services provisionnés

Lorsque vous commencez à utiliser Spanner, vous activez les API suivantes :

• https://spanner.googleapis.com

Pour en savoir plus, consultez Démarrage rapide : créer et interroger une base de données dans Spanner à l'aide de la console Google Cloud .

Authentification pour la gestion de Google Cloud

Les administrateurs et les développeurs qui créent et gèrent des instances Spanner doivent s'authentifier auprès de Google Cloud pour valider leur identité et leurs droits d'accès. Pour chaque utilisateur, vous devez configurer un compte utilisateur géré par Cloud Identity, Google Workspace ou un fournisseur d'identité que vous avez fédéré avec Cloud Identity ou Google Workspace. Pour en savoir plus, consultez la présentation de la gestion de l'authentification et des accès.

Après avoir créé les comptes utilisateur, appliquez les bonnes pratiques de sécurité, comme l'authentification unique et la validation en deux étapes.

Authentification pour l'accès aux ressources Google Cloud

La fédération des identités des employés vous permet d'utiliser votre fournisseur d'identité (IdP) externe pour authentifier les utilisateurs de votre personnel afin qu'ils puissent accéder aux ressources Google Cloud . Utilisez la fédération d'identité des employés lorsque les utilisateurs ont besoin d'un accès programmatique à vos ressources Google Cloud et que vous stockez leurs identifiants dans des IdP compatibles avec OpenID Connect (OIDC) ou Security Assertion Markup Language (SAML).

La fédération d'identité de charge de travail vous permet d'utiliser votre IdP externe pour accorder à vos charges de travail sur site ou multicloud un accès aux ressources Google Cloud , sans utiliser de clé de compte de service. Vous pouvez utiliser la fédération d'identité avec des fournisseurs d'identité tels qu'Amazon Web Services (AWS), Microsoft Entra ID, GitHub ou Okta.

Pour en savoir plus sur la compatibilité de Spanner avec la fédération d'identité, consultez Services compatibles avec la fédération d'identité.

Pour en savoir plus sur l'authentification dans Google Cloud, consultez Authentification.

Identity and Access Management

Pour gérer les rôles IAM (Identity and Access Management) à grande échelle pour vos administrateurs et développeurs, envisagez de créer des groupes fonctionnels distincts pour vos différents rôles utilisateur et applications. Accordez à vos groupes les rôles ou autorisations IAM nécessaires pour gérer Spanner. Lorsque vous attribuez des rôles à vos groupes, suivez le principe du moindre privilège et d'autres bonnes pratiques de sécurité IAM. Pour en savoir plus, consultez les bonnes pratiques concernant l'utilisation de Google Groupes.

Pour en savoir plus sur la configuration d'IAM, consultez la présentation d'IAM.

Spanner est compatible avec le contrôle des accès ultraprécis IAM, qui vous permet d'utiliser des principaux IAM pour contrôler l'accès aux bases de données, tables, colonnes et vues Spanner. Pour en savoir plus, consultez À propos du contrôle des accès ultraprécis.

Comptes de service Spanner

Lorsque vous activez Spanner, Google crée des comptes de service pour vous. Un compte de service est un type spécial de compte Google non interactif, généralement utilisé par une application ou une charge de travail de calcul, telle qu'une instance Compute Engine, plutôt que par une personne. Les applications utilisent des comptes de service pour accéder aux API Google.

Agents de service

Pour permettre à Spanner d'accéder à vos ressources en votre nom, Google Cloud crée un compte de service spécial appelé agent de service.

Lorsque vous activez Spanner, l'agent de service Spanner suivant est créé :

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Règles pour Spanner

Voici les règles d'administration prédéfinies qui s'appliquent à Spanner :

• Limiter la création d'instances qui utilisent les éditions Spanner (constraints/spanner.managed.restrictCloudSpannerEditions)

Pour en savoir plus sur les règles, consultez Utiliser des règles d'administration pour Spanner.

Vous pouvez utiliser des règles d'administration personnalisées pour configurer des restrictions sur Spanner au niveau d'un projet, d'un dossier ou d'une organisation. Pour en savoir plus, consultez Créer et gérer des contraintes personnalisées.

Sécurité du réseau

Par défaut, Google applique des protections par défaut aux données en transit pour tous les services Google Cloud , y compris les instances Spanner exécutées sur Google Cloud. Pour en savoir plus sur les protections réseau par défaut, consultez Chiffrement en transit.

Si votre entreprise l'exige, vous pouvez configurer des contrôles de sécurité supplémentaires pour mieux protéger le trafic sur le réseau Google Cloud et le trafic entre le réseau Google Cloud et le réseau de votre entreprise. Réfléchissez aux éléments suivants :

• Spanner est compatible avec VPC Service Controls. VPC Service Controls vous permet de contrôler le déplacement des données dans les services Google et de configurer une sécurité périmétrique basée sur le contexte.
• Dans Google Cloud, envisagez d'utiliser le VPC partagé comme topologie réseau. Le VPC partagé offre une gestion centralisée de la configuration du réseau tout en maintenant séparés les environnements.
• Utilisez Cloud VPN ou Cloud Interconnect pour maximiser la sécurité et la fiabilité de la connexion entre le réseau de votre entreprise et Google Cloud. Pour en savoir plus, consultez Choisir un produit de connectivité réseau.

Pour en savoir plus sur les bonnes pratiques de sécurité réseau, consultez Implémenter le modèle Zero Trust et Choisir une conception réseau pour votre zone de destination Google Cloud .

Connectivité des applications

Vous pouvez sécuriser la connexion entre les applications et Spanner à l'aide des méthodes suivantes :

• Accès au VPC sans serveur pour connecter Spanner directement à Cloud Run.
• Private Service Connect pour se connecter à une application gérée dans un autre VPC sur Google Cloud à l'aide de l'adresse IP privée Spanner. Utilisez cette méthode pour conserver le trafic dans Google Cloud.

Pour en savoir plus sur les options de configuration des connexions aux services sans adresse IP externe, consultez Options d'accès privé pour les services.

Authentification client

Spanner propose les méthodes d'authentification suivantes pour les clients :

• Authentification IAM

Protection des données et confidentialité

Spanner chiffre les données stockées dans Google Cloud à l'aide du chiffrement par défaut. Voici quelques exemples de données :

• Noms des tables et des colonnes
• Noms d'index
• Schéma de base de données
• Données stockées dans des tables

Seules les instances Spanner peuvent accéder à ces données.

Vous pouvez activer les clés de chiffrement gérées par le client (CMEK) pour chiffrer vos données au repos. Avec CMEK, les clés sont stockées dans Cloud Key Management Service (Cloud KMS) sous forme de clés protégées par logiciel ou par matériel avec Cloud HSM, mais elles sont gérées par vous. Pour provisionner automatiquement des clés de chiffrement, vous pouvez activer Cloud KMS Autokey. Lorsque vous activez Autokey, un développeur peut demander une clé à Cloud KMS, et l'agent de service provisionne une clé qui correspond à l'intention du développeur. Avec Cloud KMS Autokey, les clés sont disponibles à la demande, sont cohérentes et suivent les pratiques standards du secteur.

Spanner est également compatible avec Cloud External Key Manager (Cloud EKM), qui vous permet de stocker vos clés dans un gestionnaire de clés externe en dehors de Google Cloud. Pour en savoir plus, consultez Présentation des clés de chiffrement gérées par le client (CMEK).

Où les données sont-elles traitées ?

Spanner est compatible avec la résidence des données pour les données stockées sur Google Cloud. La résidence des données vous permet de choisir les régions dans lesquelles vous souhaitez stocker vos données à l'aide de la contrainte de règle "Restriction de l'emplacement des ressources". Vous pouvez utiliser l'inventaire des éléments cloud pour vérifier l'emplacement des ressources Spanner.

Si vous avez besoin de la résidence des données pour les données en cours d'utilisation, vous pouvez configurer Assured Workloads. Pour en savoir plus, consultez Assured Workloads et la résidence des données.

Confidentialité des données

Pour protéger la confidentialité de vos données, Spanner respecte les Principes communs de confidentialité.

Spanner agit en tant que sous-traitant des données client. Google agit également en tant que responsable du traitement pour des informations liées par exemple à la facturation, à la gestion de compte et à la détection des utilisations abusives. Pour en savoir plus, consultez l'Avis de confidentialité deGoogle Cloud .

Journaux d'audit

Spanner écrit les types de journaux d'audit suivants :

• Journaux d'audit des activités d'administration : incluent les opérations ADMIN WRITE qui écrivent des métadonnées ou des informations de configuration.

• Journaux d'audit pour l'accès aux données : incluent les opérations ADMIN READ qui lisent les métadonnées ou les informations de configuration. Ils comprennent également les opérations DATA READ et DATA WRITE qui lisent ou écrivent des données fournies par l'utilisateur.

• Journaux d'audit des événements système : identifient les actions automatisées Google Cloud qui modifient la configuration des ressources.

Pour en savoir plus, consultez Journalisation d'audit.

Access Transparency

Vous pouvez utiliser Access Approval et Access Transparency pour contrôler l'accès aux instances Spanner par le personnel Google qui assure l'assistance du service. La fonctionnalité Access Approval vous permet d'accepter ou de refuser les demandes d'accès émanant d'employés de Google. Les journaux Access Transparency fournissent des informations en temps quasi réel lorsque les administrateurs Google Cloud accèdent aux ressources.

Surveillance et réponse aux incidents

Vous pouvez utiliser différents outils pour surveiller les performances et la sécurité de Spanner. Tenez compte des points suivants :

• L'explorateur de journaux permet d'afficher et d'analyser les journaux d'événements, et de créer des métriques personnalisées et des alertes.
• Utilisez le tableau de bord Cloud Monitoring pour surveiller les performances de Spanner. Pour en savoir plus, consultez Surveiller Spanner.
• Déployez des contrôles et des frameworks cloud dans Security Command Center pour détecter les failles et les menaces qui pèsent sur Spanner (comme les escalades de privilèges). Vous pouvez configurer des alertes et des playbooks pour les analystes de votre centre d'opérations de sécurité (SOC) afin qu'ils puissent répondre aux résultats.

Certifications et conformité

Le respect des exigences réglementaires est une responsabilité partagée entre vous et Google.

Spanner a reçu différentes certifications, dont les suivantes :

• ISO 27001
• SOC 2
• HIPAA

Pour en savoir plus sur la conformité de Google Cloud avec les différents cadres réglementaires et certifications, consultez le Centre de ressources pour la conformité.

Spanner est également compatible avec Assured Workloads, qui vous permet d'appliquer des contrôles à des dossiers spécifiques de votre organisation Google pour répondre aux exigences réglementaires, régionales ou de souveraineté. Pour en savoir plus, consultez Produits compatibles par package de contrôles.

Étapes suivantes

• Activez les sauvegardes.
• Utilisez Google Threat Intelligence pour suivre les menaces externes qui s'appliquent à votre entreprise.
• En savoir plus sur Identity and Access Management dans Spanner
• En savoir plus sur le chiffrement des données dans Spanner