Ce document inclut les bonnes pratiques et les consignes à suivre pour créer une base d'entreprise sécurisée lorsque vous exécutez des charges de travail qui utilisentCloud de Confiance by S3NS. Une base d'entreprise sécurisée inclut des contrôles pour les éléments suivants :
- Authentification et autorisation
- Organisation
- Mise en réseau
- Journalisation, surveillance et alertes
- Gestion des clés et des secrets
- Stratégie et analyses de sécurité
Authentification et autorisation
Cette section inclut les bonnes pratiques et les consignes pour Identity and Access Management (IAM) et Cloud Identity lorsque vous exécutez des charges de travail sur Cloud de Confiance by S3NS.
Désactiver l'attribution automatique de rôles IAM pour les comptes de service par défaut
| ID de contrôle Google | IAM-CO-4.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez la contrainte booléenne Par défaut, certains systèmes accordent des autorisations trop larges aux comptes automatisés, ce qui constitue un risque de sécurité potentiel. Par exemple, si vous n'appliquez pas cette contrainte et que vous créez un compte de service par défaut, le rôle Éditeur ( |
| Produits applicables |
|
| Chemin d'accès | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Bloquer la création de clés de compte de service externes
| ID de contrôle Google | IAM-CO-4.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez la contrainte booléenne |
| Produits applicables |
|
| Chemin d'accès | constraints/iam.disableServiceAccountKeyCreation |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Bloquer l'importation de clés de compte de service
| ID de contrôle Google | IAM-CO-4.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez la contrainte booléenne |
| Produits applicables |
|
| Chemin d'accès | constraints/iam.disableServiceAccountKeyUpload |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer la séparation des tâches pour les administrateurs des règles d'administration
| ID de contrôle Google | OPS-CO-6.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Attribuez le rôle Administrateur des règles de l'organisation (
roles/orgpolicy.policyAdmin) aux groupes responsables de la sécurité de l'organisation Cloud de Confiance by S3NS . Pour éviter la création de ressources qui enfreignent les règles de sécurité, n'attribuez pas ce rôle aux propriétaires de projet. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer la validation en deux étapes pour les comptes super-administrateur
| ID de contrôle Google | CI-CO-6.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Google recommande les clés de sécurité Titan pour la validation en deux étapes des comptes super-administrateur. Toutefois, pour les cas d'utilisation où cela n'est pas possible, nous vous recommandons d'utiliser une autre clé de sécurité. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Appliquer la validation en deux étapes à l'unité organisationnelle des super-administrateurs
| ID de contrôle Google | CI-CO-6.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Appliquez la validation en deux étapes (2SV) pour une unité organisationnelle (UO) spécifique ou pour l'ensemble de l'organisation. Nous vous recommandons de créer une UO pour les super-administrateurs et d'y appliquer la validation en deux étapes. |
| Produits applicables |
Cloud Identity |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Créer une adresse e-mail exclusive pour le super-administrateur principal
| ID de contrôle Google | CI-CO-6.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Créez une adresse e-mail qui n'est pas spécifique à un utilisateur particulier et définissez-la en tant que compte super-administrateur Cloud Identity principal.
|
| Produits applicables |
Cloud Identity |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Créer des comptes administrateur redondants
| ID de contrôle Google | CI-CO-6.7 |
|---|---|
| Implémentation | Obligatoire |
| Description | Vous n'avez pas de super-administrateur ni d'administrateur de l'organisation unique. Créez un ou plusieurs comptes administrateur de secours (20 au maximum). Si vous n'avez qu'un seul super-administrateur ou administrateur de l'organisation, vous risquez de ne plus pouvoir accéder à votre compte. Cette situation présente également un risque plus élevé, car une seule personne peut apporter des modifications à la plate-forme, potentiellement sans surveillance. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser Privileged Access Manager
| ID de contrôle Google | GCVE-CO-3.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez Privileged Access Manager pour gérer les accès privilégiés. Pour tous les autres accès, utilisez des groupes d'accès, laissez les abonnements aux groupes expirer automatiquement et mettez en place un workflow d'approbation pour les abonnements aux groupes. Le modèle du moindre privilège vous permet de n'accorder l'accès qu'aux ressources nécessaires, et uniquement lorsque cela est nécessaire. L'utilisation de rôles prédéfinis simplifie l'utilisation et réduit l'expansion causée par les rôles personnalisés. Vous n'avez donc pas à vous soucier de la gestion du cycle de vie des rôles. |
| Produits applicables |
Identity and Access Management (IAM) |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Définir la source de référence pour les identités
| Implémentation | Obligatoire |
|---|---|
| Description | Choisissez votre source de vérité pour le provisionnement des identités des utilisateurs gérés. Les modèles incluent la création d'identités utilisateur dans Cloud Identity, la synchronisation des identités à partir d'un fournisseur d'identité existant ou l'utilisation de la fédération d'identité de personnel. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Appliquer des règles strictes concernant les mots de passe
| Implémentation | Obligatoire |
|---|---|
| Description | Appliquez des mots de passe uniques et sécurisés pour tous les comptes utilisateur. Envisagez d'utiliser un gestionnaire de mots de passe. Les identifiants faibles ou inexistants sont un schéma courant que les utilisateurs malveillants peuvent facilement exploiter. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser des rôles basés sur les fonctions
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez des rôles IAM (Identity and Access Management) basés sur les fonctions professionnelles pour attribuer des autorisations aux utilisateurs. Les fonctions sont des rôles prédéfinis qui permettent aux administrateurs de fournir un ensemble d'autorisations limitées à une fonction, ce qui améliore la productivité et réduit les allers-retours pour demander des autorisations. Pour mieux répondre aux exigences de votre organisation, vous pouvez créer des rôles personnalisés à partir de rôles prédéfinis. |
| Produits applicables |
IAM |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Restreindre les membres externes dans les groupes
| Implémentation | Obligatoire |
|---|---|
| Description | Définissez des règles à l'échelle de l'organisation pour empêcher l'ajout de membres externes à des groupes Google. Par défaut, les comptes utilisateur externes peuvent être ajoutés aux groupes dans Cloud Identity. Nous vous recommandons de configurer les paramètres de partage afin que les propriétaires de groupe ne puissent pas ajouter de membres externes. Notez que cette restriction ne s'applique pas au compte super-administrateur ni aux autres administrateurs délégués disposant d'autorisations d'administrateur Google Groupes. Étant donné que la fédération de votre fournisseur d'identité s'exécute avec des droits d'administrateur, les paramètres de partage de groupe ne s'appliquent pas à cette synchronisation de groupe. Nous vous recommandons de vérifier les contrôles du fournisseur d'identité et du mécanisme de synchronisation pour vous assurer que les membres externes au domaine ne sont pas ajoutés aux groupes ou pour appliquer des restrictions de groupe. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Définir la durée des sessions quotidiennes
| Implémentation | Obligatoire |
|---|---|
| Description | Définissez la durée de session pour les services Cloud de Confiance by S3NS afin qu'elle expire au moins une fois par jour. Laisser un compte connecté pendant une longue période présente un risque pour la sécurité. L'application d'une durée de session maximale met automatiquement fin à la session après un certain temps, ce qui oblige l'utilisateur à se reconnecter de manière sécurisée. Cette pratique réduit les chances qu'un utilisateur malveillant utilise un mot de passe volé et garantit que l'accès est régulièrement revérifié. Pour les nouveaux clients, une durée de session par défaut de 16 heures est automatiquement appliquée. Les clients qui ont créé leur organisation Cloud de Confiance by S3NS avant 2023 peuvent avoir une configuration par défaut qui ne nécessite jamais de réauthentification. Vérifiez ce paramètre pour vous assurer que vous disposez d'une règle de réauthentification avec une durée de session comprise entre 1 et 24 heures. La règle de réauthentification annule la validation du jeton d'actualisation et oblige l'utilisateur à se réauthentifier régulièrement sur gcloud CLI avec son mot de passe ou sa clé de sécurité. La durée de session pour les services Cloud de Confiance by S3NS est un paramètre distinct de la durée de session pour les services Google, qui contrôle les sessions Web pour la connexion aux services Google Workspace, mais ne contrôle pas la réauthentification pour Cloud de Confiance by S3NS. Si vous utilisez les services Google Workspace, définissez également la durée de session pour ceux-ci. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Corriger les comptes personnels non gérés
| Implémentation | Obligatoire |
|---|---|
| Description | N'autorisez pas les comptes personnels non gérés. Regroupez tous les comptes personnels non gérés et envisagez une solution pour empêcher la création d'autres comptes personnels non gérés avec votre domaine. Les comptes personnels non gérés ne sont pas régis par vos processus JML (Joiner-Mover-Leaver). Ils présentent donc le risque qu'un employé ait toujours accès à vos ressources après avoir quitté son poste. Ces comptes sont également traités comme externes en ce qui concerne les contrôles tels que le partage restreint au domaine. |
| Produits applicables |
Cloud Identity |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Appliquer des administrateurs dédiés et l'approbation multipartite
| Implémentation | Obligatoire |
|---|---|
| Description | Assurez-vous que les comptes super-administrateur sont distincts des comptes utilisateur quotidiens. Les comptes super-administrateur doivent être des comptes dédiés qui ne sont utilisés que pour apporter des modifications importantes. Pour renforcer la sécurité, activez l'approbation multipartite pour les actions d'administration. Si vous activez l'approbation multipartite, les actions sensibles doivent être approuvées par deux administrateurs. Cela permet d'empêcher les pirates informatiques de compromettre un compte administrateur et de bloquer l'accès aux autres administrateurs. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer l'authentification multifacteur pour tous les comptes Google et utilisateurs Cloud Identity
| ID de contrôle Google | CI-CO-6.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Activez l'authentification multifacteur (MFA), également appelée validation en deux étapes (2SV), pour tous les comptes Google et utilisateurs Cloud Identity, et pas seulement pour les super-administrateurs. L'MFA pour les super-administrateurs est activée par défaut. L'MFA ajoute une couche de protection supplémentaire, car les mots de passe seuls ne constituent souvent pas une mesure de sécurité suffisamment efficace. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Révoquer les rôles de créateur par défaut
| Implémentation | Obligatoire |
|---|---|
| Description | Supprimez les rôles de créateur de projet et de créateur de compte de facturation à l'échelle du domaine qui sont attribués par défaut à tous les membres d'une nouvelle organisation. Les nouvelles organisations accordent les rôles de créateur de projet et de créateur de compte de facturation à toutes les identités utilisateur gérées du domaine. Bien que ces rôles soient utiles pour commencer, cette configuration n'est pas destinée aux environnements de production. La prolifération des comptes de facturation entraîne une augmentation des frais administratifs et a des conséquences techniques lorsque les services sont répartis sur plusieurs comptes de facturation. Si vous autorisez la création de projets en mode forme libre, vous risquez de créer des projets qui ne respectent pas vos conventions de gouvernance. Supprimez plutôt ces rôles et établissez un processus de création de projets pour demander de nouveaux projets et les associer à la facturation. |
| Produits applicables |
IAM |
| Chemin d'accès | resourcemanager.organizations/iamPolicy.bindings |
| Opérateur | not_contains |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Alterner les clés de compte de service
| Implémentation | Obligatoire |
|---|---|
| Description | Si vous devez utiliser des clés de compte de service, alternez-les au moins une fois tous les 90 jours. Un intervalle de rotation limite la durée pendant laquelle un pirate informatique peut avoir accès au système. Sans intervalle de rotation, l'attaquant a un accès permanent. Si possible, envisagez d'utiliser la fédération d'identité de charge de travail au lieu des clés de compte de service. |
| Produits applicables |
IAM |
| Chemin d'accès | constraints/iam.serviceAccountKeyExpiryHours |
| Opérateur | <= |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser la fédération d'identité de charge de travail
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez la fédération d'identité de charge de travail pour permettre aux systèmes CI/CD et aux charges de travail exécutées sur d'autres clouds de s'authentifier auprès de Cloud de Confiance by S3NS. La fédération d'identité de charge de travail permet aux charges de travail exécutées en dehors de Cloud de Confiance de s'authentifier sans avoir besoin d'une clé de compte de service. En évitant les clés de compte de service et les autres identifiants de longue durée, la fédération d'identité de charge de travail peut vous aider à réduire le risque de fuite d'identifiants. |
| Produits applicables |
IAM |
| Chemin d'accès | iam.googleapis.com/WorkloadIdentityPool |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Bloquer l'autorécupération de comptes super-administrateur
| ID de contrôle Google | CI-CO-6.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Par défaut, l'autorécupération de compte super-administrateur est désactivée pour les nouveaux clients. Toutefois, il est possible que les clients existants aient activé ce paramètre. La désactivation de ce paramètre permet de limiter le risque qu'un téléphone compromis, une adresse e-mail compromise ou une attaque par ingénierie sociale puisse permettre à un pirate informatique d'obtenir des droits de super-administrateur sur votre environnement. Planifiez un processus interne pour un super-administrateur afin de contacter un autre super-administrateur de votre organisation s'il a perdu l'accès à son compte, et assurez-vous que tous les super-administrateurs sont familiarisés avec le processus de récupération assistée. Pour désactiver cette fonctionnalité, accédez aux paramètres de récupération de compte dans la console d'administration Google. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Définir le délai avant expiration de la session inactive pour les cas d'utilisation sensibles
| Implémentation | Obligatoire |
|---|---|
| Description | Définissez le délai avant expiration de la session sur 15 minutes pour les cas d'utilisation sensibles. Les pirates informatiques peuvent utiliser les sessions inactives pour voler des identifiants. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Imposer l'utilisation de clés de sécurité matérielles pour les administrateurs
| Implémentation | Obligatoire |
|---|---|
| Description | Si possible, fournissez des clés de sécurité matérielles aux super-administrateurs ou aux administrateurs de l'organisation comme deuxième facteur. Les comptes de super-administrateur sont les cibles les plus intéressantes pour les attaques sophistiquées. Les clés de sécurité matérielles offrent un niveau de protection élevé, car elles résistent à l'hameçonnage. Les clés de sécurité matérielles constituent la protection la plus efficace possible contre la prise de contrôle de compte pour vos administrateurs les plus importants. Elles s'appuient sur votre règle standard de MFA. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer la validation post-authentification unique
| Implémentation | Obligatoire |
|---|---|
| Description | Si vous utilisez un fournisseur d'identité externe, configurez la validation post-authentification unique. Activez un niveau de contrôle supplémentaire basé sur l'analyse des risques de connexion Google. Après l'application de ce paramètre, les utilisateurs peuvent voir des questions d'authentification en cas de risque de sécurité supplémentaires lors de la connexion, si Google estime qu'elle est suspecte. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les stratégies de limite d'accès des comptes principaux
| Implémentation | Obligatoire |
|---|---|
| Description | Activez les stratégies de limites d'accès des principaux (PAB) pour limiter l'accès des principaux et vous protéger contre le hameçonnage et l'exfiltration de données. Activez une stratégie PAB pour l'organisation afin d'éviter les attaques par hameçonnage externes. Les PAB améliorent la sécurité en réduisant l'ampleur d'une attaque avec une identité compromise. Ils permettent également d'éviter les attaques d'hameçonnage externes et autres attaques d'exfiltration. |
| Produits applicables |
IAM |
| Chemin d'accès | iam.googleapis.com/PrincipalAccessBoundaryPolicy |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Implémenter des tags pour attribuer efficacement des stratégies IAM et des règles d'administration
| ID de contrôle Google | IAM-CO-6.1 |
|---|---|
| Implémentation | Recommandé |
| Description | Les tags permettent de créer des annotations pour les ressources et, dans certains cas, d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Utilisez les tags et l'application conditionnelle de règles pour un contrôle ultraprécis de votre hiérarchie de ressources. |
| Produits applicables |
Resource Manager |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Auditer les modifications à haut risque apportées à IAM
| ID de contrôle Google | IAM-CO-7.1 |
|---|---|
| Implémentation | Recommandé |
| Description | Utilisez Cloud Audit Logs pour surveiller les activités à haut risque, comme l'attribution de rôles à haut risque (administrateur de l'organisation ou super-administrateur, par exemple) à des comptes. Configurez des alertes pour ce type d'activité. |
| Produits applicables |
Cloud Audit Logs |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Bloquer l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity
| ID de contrôle Google | CI-CO-6.8 |
|---|---|
| Implémentation | Recommandé |
| Description | Pour éviter d'accorder un accès excessif à Cloud de Confiance by S3NS, bloquez l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer l'accès contextuel pour les consoles Google
| ID de contrôle Google | IAM-CO-8.2 |
|---|---|
| Implémentation | Facultatif |
| Description | Grâce à l'accès contextuel, vous pouvez créer des règles de sécurité précises pour le contrôle des accès aux applications, sur la base d'attributs comme l'identité des utilisateurs, le lieu, le niveau de sécurité des appareils et l'adresse IP. Nous vous recommandons d'utiliser l'accès contextuel pour limiter l'accès à la console Cloud de Confiance (https://console.cloud.google.com/) et à la console d'administration Google (https://admin.cloud.google.com). |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Bloquer l'autorécupération de comptes super-administrateur
| ID de contrôle Google | CI-CO-6.3 |
|---|---|
| Implémentation | Facultatif |
| Description | Un pirate informatique pourrait utiliser la procédure d'autorécupération pour réinitialiser les mots de passe des super-administrateurs. Pour atténuer les risques de sécurité associés aux attaques Signaling System 7 (SS7), aux attaques par échange de carte SIM ou à d'autres attaques par hameçonnage, nous vous recommandons de désactiver cette fonctionnalité. Pour désactiver cette fonctionnalité, accédez aux paramètres de récupération de compte dans la console d'administration Google.
|
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Désactiver les services Google inutilisés
| ID de contrôle Google | CI-CO-6.6 |
|---|---|
| Implémentation | Facultatif |
| Description | En général, nous vous recommandons de désactiver les services que vous n'utiliserez pas.
|
| Produits applicables |
Cloud Identity |
| Chemin d'accès | http://admin.google.com > Apps > Additional Google Services |
| Opérateur | Paramètre |
| Valeur |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Organisation
Cette section présente les bonnes pratiques et les consignes à suivre pour le service de règles d'administration et Resource Manager lorsque vous exécutez des charges de travail sur Cloud de Confiance by S3NS.
Restreindre les versions TLS compatibles avec les API Google
| ID de contrôle Google | COM-CO-1.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Cloud de Confiance est compatible avec plusieurs versions du protocole TLS. Pour répondre aux exigences de conformité, vous pouvez refuser les demandes de handshake des clients qui utilisent d'anciennes versions de TLS. Pour configurer ce contrôle, utilisez la contrainte de règle d'administration Limiter les versions TLS ( En raison du comportement de l'évaluation de la hiérarchie des règles d'administration, la restriction de version TLS s'applique au nœud de ressource spécifié et à tous ses dossiers et projets (enfants). Par exemple, si vous refusez la version 1.0 de TLS pour une organisation, elle est également refusée pour tous les enfants qui en dépendent. Vous pouvez remplacer la restriction de version TLS héritée en modifiant la règle d'administration sur une ressource enfant. Par exemple, si votre règle d'administration refuse TLS 1.0 au niveau de l'organisation, vous pouvez supprimer la restriction pour un dossier enfant en définissant une règle d'administration distincte pour ce dossier. Si le dossier comporte des enfants, la règle du dossier sera également appliquée à chaque ressource enfant en raison de l'héritage des règles. Pour limiter davantage la version TLS à TLS 1.3 uniquement, vous pouvez définir cette règle pour limiter également la version TLS 1.2. Vous devez implémenter ce contrôle sur les applications que vous hébergez dans Cloud de Confiance by S3NS. Par exemple, au niveau de l'organisation, définissez :
|
| Produits applicables |
Tous ; géré par le service de règles d'administration |
| Chemin d'accès | gcp.restrictTLSVersion |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| ID de contrôle Compliance Manager | RESTRICT_LEGACY_TLS_VERSIONS |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Restreindre les comptes principaux autorisés
| ID de contrôle Google | COM-CO-4.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Assurez-vous que seules les identités de votre organisation sont autorisées dans votre environnement Cloud de Confiance by S3NS . Utilisez la contrainte de règle d'administration Partage restreint au domaine ( Ces contraintes permettent d'empêcher les employés d'accorder l'accès à des comptes externes qui ne respectent pas vos règles de sécurité concernant l'authentification multifacteur (MFA) ou la gestion des mots de passe et qui ne sont pas contrôlés par votre organisation. Ce contrôle est essentiel pour empêcher les accès non autorisés et s'assurer que seules les identités d'entreprise gérées et fiables peuvent être utilisées. |
| Produits applicables |
|
| Chemin d'accès | constraints/iam.allowedPolicyMemberDomains |
| Opérateur | Est |
| Valeur |
|
| Type | Liste |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Restreindre l'utilisation des services de ressources
| ID de contrôle Google | RM-CO-4.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte Cette contrainte permet à votre organisation de créer une liste d'autorisation des services approuvés, ce qui permet d'empêcher les employés d'utiliser des services non vérifiés. |
| Produits applicables |
|
| Chemin d'accès | constraints/gcp.restrictServiceUsage |
| Opérateur | Est |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Limiter les emplacements de ressources
| ID de contrôle Google | RM-CO-4.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte de restriction d'emplacement des ressources ( Cette contrainte permet à votre organisation de s'assurer que vos ressources et vos données ne sont créées et enregistrées que dans des régions géographiques spécifiques approuvées. |
| Produits applicables |
|
| Chemin d'accès | constraints/gcp.resourceLocations |
| Opérateur | Est |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Mise en réseau
Cette section inclut les bonnes pratiques et les consignes pour le cloud privé virtuel (VPC) et Cloud DNS lorsque vous exécutez des charges de travail sur Cloud de Confiance by S3NS.
Bloquer la création du réseau par défaut
| ID de contrôle Google | VPC-CO-6.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte booléenne Le réseau par défaut est un réseau cloud privé virtuel (VPC) en mode automatique avec des règles de pare-feu IPv4 préremplies pour autoriser les chemins de communication internes. En règle générale, cette configuration n'est pas recommandée pour la sécurité des environnements de production. |
| Produits applicables |
|
| Chemin d'accès | constraints/compute.skipDefaultNetworkCreation |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les extensions de sécurité DNS
| ID de contrôle Google | DNS-CO-6.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine. Elle n'offre aucune protection de la confidentialité pour ces recherches, mais empêche les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS. Dans Cloud DNS, activez DNSSEC aux emplacements suivants :
|
| Produits applicables |
Cloud DNS |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer l'accès privé à Google
| ID de contrôle Google | GCVE-CO-1.5 |
|---|---|
| Implémentation | Obligatoire |
| Description | Activez l'accès privé à Google sur tous les sous-réseaux. L'activation de l'accès privé à Google permet aux services d'accéder aux services Cloud de Confiance by S3NS qui ne disposent pas d'adresses IP externes. Par défaut, l'accès privé à Google n'est pas activé sur les nouvelles ressources. Vous devez effectuer des étapes supplémentaires pour l'activer explicitement. |
| Produits applicables |
Cloud privé virtuel (VPC) |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer l'accès aux services privés pour les producteurs de services
| ID de contrôle Google | GCVE-CO-1.6 |
|---|---|
| Implémentation | Obligatoire |
| Description | Activez l'accès aux services privés pour créer un réseau privé entre les services Cloud de Confiance by S3NS , tels que les anciens réseaux Google Cloud VMware Engine et les producteurs de services tels que Cloud SQL. L'accès privé aux services permet d'éviter d'exposer inutilement les connexions réseau des charges de travail à Internet. |
| Produits applicables |
Cloud privé virtuel (VPC) |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Désactiver IPv6, sauf si nécessaire
| Implémentation | Obligatoire |
|---|---|
| Description | Désactivez la création de sous-réseaux IPv6 externes, sauf si cela est spécifiquement requis. Pour réduire votre surface d'attaque, envisagez de désactiver IPv6 sur les systèmes et réseaux où il n'est pas géré activement ni requis. De nombreuses organisations disposent de contrôles et d'une surveillance de sécurité matures pour IPv4, mais leurs outils et règles ne s'étendent peut-être pas entièrement à IPv6, ce qui peut créer un angle mort important pour les menaces. L'exécution d'un réseau à double pile introduit également une complexité opérationnelle, nécessitant des configurations et une expertise spécifiques pour gérer et résoudre efficacement les problèmes. Par conséquent, si vous n'avez pas de raison commerciale claire d'utiliser IPv6, le désactiver peut simplifier votre environnement et garantir que tout le trafic est filtré de manière cohérente par votre posture de sécurité IPv4 établie. |
| Produits applicables |
Compute Engine |
| Chemin d'accès | constraints/compute.disableVpcExternalIpv6 |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Limiter le trafic sortant
| Implémentation | Obligatoire |
|---|---|
| Description | Limitez l'accès aux sources externes, car par défaut, tous les accès sortants sont autorisés. Définissez des règles de pare-feu spécifiques pour les modèles de trafic sortant prévus. Par défaut, les systèmes sont souvent autorisés à établir des connexions sortantes à Internet, ce qui peut être considéré comme un risque pour la sécurité. Une règle de refus par défaut bloque le trafic sortant et nécessite la création de règles spécifiques pour les destinations connues et nécessaires uniquement. |
| Produits applicables |
Cloud Next Generation Firewall |
| Chemin d'accès | cloudasset.assets/assetType |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Limiter l'accès entrant aux ports SSH et RDP
| Implémentation | Obligatoire |
|---|---|
| Description | Dans la mesure du possible, limitez l'accès entrant à des ressources et des plages de ressources spécifiques uniquement. Si Identity-Aware Proxy (IAP) est configuré, définissez les règles de pare-feu SSH et RDP (Remote Desktop Protocol) entrants sur les plages d'adresses IP IAP en tant que sources. Les règles de pare-feu SSH et RDP permissives permettent les attaques par force brute. Utilisez plutôt des proxys compatibles avec l'identité (comme IAP) pour SSH et RDP. Cloud de Confiance by S3NS |
| Produits applicables |
IAP |
| Chemin d'accès | cloudasset.assets/assetType |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer VPC Service Controls
| Implémentation | Obligatoire |
|---|---|
| Description | Activez VPC Service Controls comme couche de protection supplémentaire pour éviter toute perte de données potentielle. VPC Service Controls peut vous aider à empêcher l'exfiltration de données en créant des périmètres d'isolation autour de vos ressources cloud, de vos données sensibles et de vos réseaux. Le périmètre de service limite l'utilité des identifiants compromis, car il bloque les requêtes adressées à des services restreints provenant de points de terminaison contrôlés par le pirate informatique et extérieurs à votre environnement. |
| Produits applicables |
VPC Service Controls |
| Chemin d'accès | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser les règles Cloud Armor
| Implémentation | Obligatoire |
|---|---|
| Description | Pour les applications exposées derrière Cloud Load Balancing, utilisez les règles par défaut de Google Cloud Armor ou configurez vos propres règles pour ajouter une protection réseau de couche 3 à 7 pour les applications ou services externes. Les règles de sécurité Cloud Armor protègent votre application en fournissant un filtrage de couche 7. Ces règles examinent également les requêtes entrantes pour les attaques Web courantes ou d'autres attributs de couche 7 afin de bloquer potentiellement le trafic avant qu'il n'atteigne vos services de backend à équilibrage de charge ou vos buckets de backend. Chaque stratégie de sécurité est composée d'un ensemble de règles qui incluent des attributs des couches 3 à 7. |
| Produits applicables |
Cloud Armor |
| Chemin d'accès | compute.backendServices/securityPolicy |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer la restriction du champ d'application du service dans les règles d'accès Access Context Manager
| ID de contrôle Google | COM-CO-8.1 |
|---|---|
| Implémentation | Recommandations pour l'IA générative sur les cas d'utilisation |
| Description | Pour chaque périmètre de service, vérifiez dans la console Cloud de Confiance que le type de périmètre est défini sur "Standard". |
| Produits applicables |
|
| Chemin d'accès | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Restreindre les API dans les périmètres de service VPC Service Controls
| ID de contrôle Google | COM-CO-8.2 |
|---|---|
| Implémentation | Recommandations pour l'IA générative sur les cas d'utilisation |
| Description | Pour chaque périmètre de service, utilisez Access Context Manager pour confirmer que le périmètre protège l'API. |
| Produits applicables |
|
| Chemin d'accès | accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices |
| Opérateur | Anyof |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser un DNS zonal
| ID de contrôle Google | DNS-CO-4.1 |
|---|---|
| Implémentation | Facultatif |
| Description | La contrainte booléenne |
| Produits applicables |
Règle d'administration |
| Chemin d'accès | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| Opérateur | = |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Journalisation, surveillance, alertes
Cette section inclut les bonnes pratiques et les consignes pour les services de journalisation et d'audit dans Cloud de Confiance by S3NS , ainsi que pour la configuration d'alertes pour des services tels que Cloud Billing.
Partager les journaux d'audit depuis Cloud Identity
| ID de contrôle Google | CI-CO-6.5 |
|---|---|
| Implémentation | Obligatoire |
| Description | Si vous utilisez Cloud Identity, partagez les journaux d'audit de Cloud Identity avec Cloud de Confiance by S3NS. En règle générale, les journaux d'audit pour les activités d'administration de Google Workspace ou Cloud Identity sont affichés et gérés dans la console d'administration Google, séparément de vos journaux dans votre environnement Cloud de Confiance . Ces journaux contiennent des informations pertinentes pour votre environnement Cloud de Confiance , telles que des événements de connexion utilisateur. Nous vous recommandons de partager les journaux d'audit Cloud Identity avec votre environnement Cloud de Confiance pour gérer les journaux de manière centralisée à partir de toutes les sources. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser les journaux d'audit
| ID de contrôle Google | COM-CO-7.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Les servicesCloud de Confiance génèrent des entrées dans les journaux d'audit pour répondre à la question "qui a fait quoi, où et quand ?" avec les ressources Cloud de Confiance . Activez la journalisation d'audit au niveau de l'organisation. Vous pouvez configurer la journalisation à l'aide du pipeline que vous utilisez pour configurer l'organisation Cloud de Confiance . |
| Produits applicables |
Cloud Audit Logs |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les journaux de flux VPC
| ID de contrôle Google | COM-CO-7.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Les journaux de flux VPC enregistrent un échantillon des flux réseau envoyés et reçus par les instances de VM, y compris celles utilisées comme nœuds Google Kubernetes Engine (GKE). Il correspond généralement à 50% ou moins des flux du réseau VPC. Lorsque vous activez les journaux de flux VPC, vous activez la journalisation pour toutes les VM d'un sous-réseau. Cependant, vous pouvez réduire la quantité d'informations écrites dans Logging. Activez les journaux de flux VPC pour chaque sous-réseau VPC. Vous pouvez configurer la journalisation à l'aide d'un pipeline que vous utilisez pour créer un projet. |
| Produits applicables |
Cloud privé virtuel |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer la journalisation des règles de pare-feu
| ID de contrôle Google | COM-CO-7.5 |
|---|---|
| Implémentation | Obligatoire |
| Description | Par défaut, les règles de pare-feu n'écrivent pas automatiquement de journaux.La journalisation des règles de pare-feu vous permet d'auditer, de vérifier et d'analyser les effets de vos règles de pare-feu. Par exemple, vous pouvez déterminer si une règle de pare-feu conçue pour refuser le trafic fonctionne comme prévu. La journalisation est également utile si vous souhaitez déterminer le nombre de connexions affectées par une règle de pare-feu donnée. Activez la journalisation pour chaque règle de pare-feu. Vous pouvez configurer la journalisation à l'aide d'un pipeline que vous utilisez pour créer un pare-feu. |
| Produits applicables |
Cloud privé virtuel |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer l'audit de l'activité des administrateurs
| ID de contrôle Google | COM-CO-7.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Par défaut, Cloud de Confiance active l'audit des activités d'administration clés pour les comptes privilégiés et ne permet à personne de le désactiver. Les journaux d'audit des activités d'administration contiennent des entrées relatives aux appels d'API et autres opérations qui modifient la configuration ou les métadonnées des ressources. Par exemple, ils enregistrent les actions de création d'instances de VM ou de modification des autorisations IAM. Les journaux d'audit des activités d'administration contiennent des entrées de journal pour la création, la modification et la suppression des contraintes de règles de l'organisation au niveau d'une organisation, d'un dossier et d'un projet. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer, ni les exclure, ni les désactiver. Même si vous désactivez l'API Cloud Logging, les journaux d'audit des activités d'administration sont toujours générés. Nous recommandons à votre organisation de configurer des règles et des procédures pour surveiller ces alertes, et de générer des actions ou des alertes en fonction de vos règles d'accès à l'entreprise pour surveiller les activités des administrateurs. |
| Produits applicables |
Cloud Audit Logs |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
S'abonner aux bulletins de sécurité
| ID de contrôle Google | GKE-CO-1.8 |
|---|---|
| Implémentation | Obligatoire |
| Description | Abonnez-vous aux notifications des bulletin de sécurité pour les services Cloud de Confiance by S3NS afin de recevoir des alertes sur les failles et les mesures d'atténuation. Lorsque des bulletins de sécurité sont disponibles et concernent votre service Cloud de Confiance by S3NS (comme GKE), le service peut publier des notifications sur ces événements sous forme de messages dans les sujets Pub/Sub que vous configurez. Vous pouvez recevoir ces notifications sur un abonnement Pub/Sub, les intégrer à des services tiers et filtrer les types de notifications que vous souhaitez recevoir. |
| Produits applicables |
Tous |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer les groupes de contacts essentiels
| Implémentation | Obligatoire |
|---|---|
| Description | Configurez les contacts essentiels pour vous assurer qu'un alias de groupe ou une liste de diffusion surveillés reçoivent les notifications importantes. Google envoie des alertes de sécurité critiques (par exemple, en cas de piratage potentiel d'un compte) aux adresses e-mail listées comme contacts essentiels. Si l'adresse e-mail d'une personne est utilisée à cette fin, l'alerte est manquée si cette personne n'est pas disponible ou a quitté l'entreprise.L'utilisation d'une adresse e-mail de groupe surveillée permet de s'assurer que ces alertes urgentes sont envoyées à une équipe active qui peut réagir rapidement. |
| Produits applicables |
Resource Manager |
| Chemin d'accès | essentialcontacts.googleapis.com/Contact |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Surveiller les anomalies de facturation
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez la fonctionnalité d'anomalies de facturation dans Cloud Billing pour suivre les pics ou les écarts de dépenses par rapport aux prévisions. Une augmentation soudaine et inattendue de la facture cloud est un indicateur principal de compromission de la sécurité. Des pics de facturation inattendus sont parfois causés par des pirates informatiques qui ont obtenu l'accès et utilisent des ressources pour des activités non autorisées. L'activation de la détection des anomalies de facturation fournit un système d'alerte précoce essentiel qui vous permet de signaler automatiquement cette activité suspecte. |
| Produits applicables |
Cloud Billing |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Exporter des journaux vers un récepteur de journaux pour le stockage à long terme
| Implémentation | Obligatoire |
|---|---|
| Description | Créez un récepteur de journaux pour exporter les journaux de votre solution de surveillance de la sécurité et définissez la période de conservation en fonction de vos besoins. Les périodes de conservation des journaux par défaut ne sont souvent pas assez longues pour répondre aux exigences de conformité (de 1 à 7 ans) imposées par des réglementations telles que PCI ou HIPAA. La création d'un récepteur de journaux pour exporter les journaux vers un emplacement de stockage à long terme est essentielle pour répondre à certaines obligations légales et réglementaires. Les récepteurs de journaux vous permettent également d'envoyer des journaux à un système de surveillance de la sécurité centralisé pour une détection avancée des menaces. |
| Produits applicables |
Cloud Logging |
| Chemin d'accès | logging.googleapis.com/LogSink/disabled |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les journaux d'audit des accès aux données
| ID de contrôle Google | COM-CO-7.2 |
|---|---|
| Implémentation | Recommandé pour certains cas d'utilisation |
| Description | Pour savoir qui a accédé aux données dans votre environnement Cloud de Confiance by S3NS , activez les journaux d'audit des accès aux données. Ces journaux enregistrent les appels d'API qui lisent, créent ou modifient les données utilisateur, ainsi que les appels d'API qui lisent les configurations de ressources. Nous vous recommandons vivement d'activer les journaux d'audit d'accès aux données pour les modèles d'IA générative et les données sensibles afin de pouvoir vérifier qui a lu les informations. Pour utiliser les journaux d'audit pour l'accès aux données, vous devez configurer votre propre logique de détection personnalisée pour des activités spécifiques, comme les connexions de super-administrateurs. Le volume des journaux d'audit pour l'accès aux données peut être important. Lorsque vous activez les journaux d'accès aux données, l'utilisation de journaux supplémentaires peut être facturée pour votre projet Cloud de Confiance . |
| Produits applicables |
Cloud Audit Logs |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer des alertes de facturation
| ID de contrôle Google | CB-CO-6.1 |
|---|---|
| Implémentation | Recommandé |
| Description | Évitez les mauvaises surprises sur votre facture en créant des budgets Cloud Billing pour surveiller tous vos frais Cloud de Confiance by S3NS depuis un seul et même endroit. Une fois que vous avez fixé un montant pour votre budget, définissez les règles fixant des seuils d'alertes budgétaires pour chaque projet afin de déclencher des notifications par e-mail. Ces notifications vous aident à suivre vos dépenses par rapport à votre budget. Vous pouvez également utiliser les budgets Cloud Billing pour automatiser les réponses de contrôle des coûts. |
| Produits applicables |
Cloud Billing |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les journaux Access Transparency
| ID de contrôle Google | COM-CO-7.7 |
|---|---|
| Implémentation | Facultatif |
| Description | Les journaux standards vous indiquent ce que font les utilisateurs de votre organisation, tandis que les journaux Access Transparency indiquent ce que fait le personnel de l'assistance Google lorsqu'il accède au compte. Cet accès n'est généralement accordé qu'en réponse à une demande d'assistance. Les journaux Access Transparency fournissent une piste d'audit complète et vérifiable de tous les accès, ce qui est essentiel pour répondre aux exigences strictes en termes de conformité et de gouvernance des données. Vous pouvez activer Access Transparency au niveau de l'organisation. |
| Produits applicables |
Access Transparency |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Exporter les données de facturation pour une analyse détaillée
| ID de contrôle Google | CB-CO-6.2 |
|---|---|
| Implémentation | Facultatif |
| Description | Pour une analyse plus approfondie de la facturation, vous pouvez exporter Cloud de Confiance by S3NS les données de facturation vers BigQuery ou un fichier JSON. Par exemple, vous pouvez exporter automatiquement des données détaillées (comme l'utilisation, les estimations de coûts et les tarifs) tout au long de la journée vers un ensemble de données BigQuery que vous spécifiez. Vous pouvez ensuite accéder à vos données Cloud Billing depuis BigQuery pour une analyse détaillée ou utiliser un outil tel que Data Studio pour les visualiser. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Gestion des clés et des secrets
Cette section inclut les bonnes pratiques et les consignes pour Cloud Key Management Service et Secret Manager lorsque vous exécutez des charges de travail surCloud de Confiance by S3NS.
Chiffrer les données au repos dans Cloud de Confiance
| ID de contrôle Google | COM-CO-2.1 |
|---|---|
| Implémentation | Obligatoire (par défaut) |
| Description | Toutes les données de Cloud de Confiance sont chiffrées au repos par défaut à l'aide d'algorithmes approuvés par le NIST. |
| Produits applicables |
Cloud de Confiance par défaut |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser des algorithmes approuvés par le NIST pour le chiffrement et le déchiffrement
| ID de contrôle Google | COM-CO-2.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Assurez-vous que Cloud Key Management Service (Cloud KMS) n'utilise que des algorithmes approuvés par le NIST pour stocker les clés sensibles dans l'environnement. Ce contrôle garantit une utilisation sécurisée des clés en n'autorisant que les algorithmes et les mesures de sécurité approuvés par le NIST. Le champ Supprimez les algorithmes qui ne respectent pas les règles de votre organisation. |
| Produits applicables |
Cloud KMS |
| Chemin d'accès | cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm |
| Opérateur | dans |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Définir l'objectif des clés Cloud KMS
| ID de contrôle Google | COM-CO-2.5 |
|---|---|
| Implémentation | Obligatoire |
| Description | Définissez l'objectif des clés Cloud KMS sur |
| Produits applicables |
Cloud KMS |
| Chemin d'accès | cloudkms.projects.locations.keyRings.cryptoKeys/purpose |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Assurez-vous que les paramètres CMEK sont appropriés pour sécuriser les entrepôts de données BigQuery
| ID de contrôle Google | COM-CO-2.6 |
|---|---|
| Implémentation | Obligatoire |
| Description | Le niveau de protection indique comment sont effectuées les opérations de chiffrement. Une fois que vous avez créé une clé de chiffrement gérée par le client (CMEK), vous ne pouvez plus modifier le niveau de protection. Voici les niveaux de protection acceptés :
|
| Produits applicables |
|
| Chemin d'accès | cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel |
| Opérateur | dans |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Alterner la clé de chiffrement tous les 90 jours
| ID de contrôle Google | COM-CO-2.7 |
|---|---|
| Implémentation | Obligatoire |
| Description | Assurez-vous que la période de rotation de vos clés Cloud KMS est définie sur 90 jours. Une bonne pratique générale consiste à alterner régulièrement vos clés de sécurité. Cette commande applique la rotation des clés créées avec les services HSM. Lorsque vous créez cette période de rotation, créez également des règles et des procédures appropriées pour gérer de manière sécurisée la création, la suppression et la modification du matériel de clé afin de protéger vos informations et d'assurer leur disponibilité. Assurez-vous que cette période respecte les règles de votre entreprise concernant la rotation des clés. |
| Produits applicables |
Cloud KMS |
| Chemin d'accès | cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod |
| Opérateur | <= |
| Valeur |
|
| Type | int32 |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer la rotation automatique des secrets
| ID de contrôle Google | SM-CO-6.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Alternez les secrets automatiquement et mettez en place des procédures de rotation d'urgence en cas de compromis.
|
| Produits applicables |
Secret Manager |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Créer une stratégie de chiffrement gérée
| Implémentation | Obligatoire |
|---|---|
| Description | Créez une stratégie de gestion du chiffrement à l'aide de Cloud Key Management Service (Cloud KMS) avec Autokey, Cloud External Key Manager (Cloud EKM) ou les deux. Cette stratégie permet à votre organisation d'utiliser et de gérer ses propres clés de chiffrement pour répondre à vos besoins spécifiques. L'utilisation de vos propres clés de chiffrement vous permet de contrôler l'accès aux données de manière précise et auditable, y compris en bloquant immédiatement l'accès aux données en désactivant la clé. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser CMEK pour les messages Pub/Sub
| ID de contrôle Google | PS-CO-6.1 |
|---|---|
| Implémentation | Recommandé |
| Description | Lorsque vous activez les clés de chiffrement gérées par le client (CMEK) pour Pub/Sub, vous obtenez un meilleur contrôle sur les clés de chiffrement que Pub/Sub utilise pour protéger vos messages. Au niveau de la couche d'application, Pub/Sub chiffre individuellement les messages entrants dès leur réception. Avant que Pub/Sub ne publie les messages dans un abonnement, il les chiffre à l'aide de la clé de chiffrement des données (DEK) la plus récente ayant été générée pour le sujet. Pub/Sub déchiffre les messages peu de temps avant qu'ils ne soient distribués aux abonnés.
Pub/Sub utilise un compte de service Cloud de Confiance by S3NS pour accéder à Cloud Key Management Service. Le compte de service est géré en interne par Pub/Sub pour chaque projet. Il ne s'affiche pas dans votre liste de comptes de service.
|
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Restreindre l'emplacement des clés de chiffrement gérées par le client
| ID de contrôle Google | COM-CO-2.2 |
|---|---|
| Implémentation | Recommandé |
| Description | Utilisez la contrainte de règle d'administration Limiter les projets susceptibles de fournir des CryptoKeys KMS pour CMEK ( Pour modifier cette contrainte, les administrateurs ont besoin du rôle IAM Administrateur des règles d'administration ( Si vous souhaitez ajouter une deuxième couche de protection, comme "Apportez votre propre clé", modifiez cette contrainte pour représenter les noms de clés de la clé CMEK activée. Spécificités du produit :
|
| Produits applicables |
|
| Chemin d'accès | constraints/gcp.restrictCmekCryptoKeyProjects |
| Opérateur | notexists |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser CMEK pour les services Cloud de Confiance
| ID de contrôle Google | COM-CO-2.3 |
|---|---|
| Implémentation | Recommandé |
| Description | Si vous avez besoin de davantage de contrôle sur les opérations de clé que ne le permet Google Cloud-powered encryption keys , vous pouvez utiliser les clés de chiffrement gérées par le client (CMEK). Ces clés sont créées et gérées à l'aide de Cloud KMS. Stockez les clés sous forme de clés logicielles, dans un cluster HSM ou dans un système de gestion de clés externe. Les taux de chiffrement et de déchiffrement de Cloud KMS sont soumis à des quotas. Spécificités de Cloud Storage Dans Cloud Storage, utilisez des CMEK sur des objets individuels ou configurez vos buckets Cloud Storage pour qu'ils utilisent une CMEK par défaut sur tous les nouveaux objets ajoutés à un bucket. Lorsque vous utilisez une clé CMEK, un objet est chiffré avec la clé par Cloud Storage au moment de son stockage dans un bucket. L'objet est automatiquement déchiffré par Cloud Storage lorsqu'il est destiné aux demandeurs. Les restrictions suivantes s'appliquent lorsque vous utilisez des clés CMEK avec Cloud Storage :
|
| Produits applicables |
|
| Chemin d'accès | constraints/gcp.restrictNonCmekServices |
| Opérateur | == |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Répliquer automatiquement les secrets
| ID de contrôle Google | SM-CO-6.1 |
|---|---|
| Implémentation | Recommandé |
| Description | Choisissez la règle de réplication automatique pour répliquer vos secrets, sauf si votre charge de travail a des exigences d'emplacement spécifiques. La règle automatique répond aux exigences de disponibilité et de performances de la plupart des charges de travail. Si votre charge de travail impose des exigences d'emplacement spécifiques, vous pouvez utiliser l'API pour sélectionner les emplacements de la règle de réplication lorsque vous créez le secret.
|
| Produits applicables |
Secret Manager |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Stratégie de sécurité et analyse
Ce document inclut les bonnes pratiques et les consignes à suivre pour Security Command Center lorsque vous exécutez des charges de travail sur Cloud de Confiance by S3NS.
Activer Security Command Center au niveau de l'organisation
| ID de contrôle Google | SCC-CO-6.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Activez Security Command Center au niveau de l'organisation pour éviter toute configuration supplémentaire. Si vous ne souhaitez pas utiliser Security Command Center, vous devez activer une autre solution de gestion de la posture.
|
| Produits applicables |
Security Command Center |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer les alertes de Security Command Center
| ID de contrôle Google | SCC-CO-7.1 |
|---|---|
| Implémentation | Recommandé |
| Description | Les alertes de Security Command Center vous offrent une visibilité sur votre organisation et vous informent des problèmes liés à vos services Cloud de Confiance by S3NS afin que vous puissiez prendre les mesures appropriées. Vous pouvez configurer des alertes dans Cloud Logging pour recevoir des notifications sur les erreurs liées à l'agent de service Security Command Center (
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com). |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Étapes suivantes
Examinez les contrôles de l'infrastructure.
Consultez d'autres Cloud de Confiance by S3NS bonnes pratiques et consignes de sécurité.