Share:

Lors de la sélection d’un fournisseur de cloud, les clients sont souvent confrontés à une zone grise en ce qui concerne les pratiques de sécurité des données, explique Jake Necessary.

Dans un webinaire de mai 2020, nous avons partagé notre expérience avec le modèle de sécurité cloud zero-trust de Google Cloud chez Cloudreach, qui a été nommé deux fois Partenaire de sécurité Google de l’année.

Ce nouveau plafond donne un aperçu de certains des aspects clés du programme de sécurité de Google, en mettant en évidence les différenciateurs et les pratiques.

Confiance et sécurité des données dans le cloud

La sécurité des données arrive en tête de liste des préoccupations des clients des fournisseurs de services cloud. Vous faites aussi cette liste ? Trust as a Service (TaaS), un acronyme plus récent qui fait référence à l’approbation par un tiers des pratiques de sécurité d’un fournisseur.

Les principaux influenceurs de la confiance d’un client dans son cloud incluent les points suivants :

  • Emplacement des données
  • État de l’enquête et emplacement des données
  • Ségrégation des données (séparation des données des clients du cloud des autres)
  • Disponibilité
  • Accès privilégié
  • Sauvegarde et restauration
  • Conformité réglementaire
  • Viabilité à long terme

La confiance est une responsabilité partagée qui doit se développer entre tout client et fournisseur de cloud et doit être basée sur un modèle “Zero Trust”. Le concept selon lequel les entreprises ne devraient faire confiance à aucune entité à l’intérieur ou à l’extérieur de leur organisation et devraient exiger une vérification avant d’autoriser toute demande d’accès à ses réseaux.

Pourquoi devriez-vous faire confiance à Google Cloud pour la sécurité du cloud ?

Que fait Google pour gagner la confiance des clients ? D’un point de vue fondamental, Google a conçu sa plateforme cloud autour des attentes des clients :

  • Fourniture de services et de données : S’assurer que les personnes ayant la bonne identité et le bon objectif peuvent accéder aux données nécessaires à chaque fois.
  • Priorisation et concentration : Google a placé l’accès et l’innovation avant les menaces et les risques, ce qui signifie qu’à mesure que les produits sont innovants, la sécurité est intégrée dans l’environnement. Si le client soupçonne l’existence d’une menace ciblée, elle ne sera pas déployée.

Approbations TaaS : vous n’avez pas seulement à croire Google sur parole.

Il convient de mentionner ici que Google a obtenu l’approbation de dizaines de tiers, y compris les organismes de certification professionnelle, les organismes d’accréditation et les agences gouvernementales aux États-Unis et à l’étranger, ont validé les mesures de sécurité de Google Cloud.

principes de haut niveau guidant la sécurité Google Cloud

En tant que fournisseur de services cloud, Google exploite la sécurité des données dans le but ultime de réduire la surface de confiance invérifiable.

  • Identités sécurisées avec une cryptographie forte : La prise de conscience de l’identité s’applique non seulement aux utilisateurs, mais également aux appareils, aux machines, aux services et au code. Dans le contexte des mesures de sécurité de Google Cloud, être “conscient de l’identité” signifie combiner toutes ces fonctionnalités pour produire une identité résultante.
  • Établir la provenance de la sécurité et la racine matérielle de la confiance : Avant de pouvoir faire confiance à un fournisseur, vous devez être en mesure de faire confiance à la puce. Google a intégré une racine matérielle de confiance dans son environnement, en intégrant la sécurité de la puce à la surface – centre de données, serveurs, stockage, réseau – qui aide à sécuriser l’environnement de manière presque physique.

Google Cloud Security Differentiators

Établissement d’une réelle transparence : activités de visibilité et de contrôle

Assurer une visibilité et un contrôle forts des données est un concept important pour valider la confiance de tout fournisseur de cloud, et Google fournit plusieurs “vitres” dans ce domaine.

Avoir une bonne visibilité commence par le Cloud Security Command Center de Google, qui offre la possibilité d’examiner une gamme d’informations pertinentes pour aider à comprendre qui a accédé à l’environnement et pourquoi.

De même, Google s’engage à respecter les politiques de classification des données, qui sont essentielles à la visibilité et au contrôle – et qui font défaut à de nombreuses organisations.

La classification des niveaux de données (par exemple, PII, PCI, confidentiel de l’entreprise) guide la formulation de contrôles d’accès stricts pour aider à protéger les données lorsqu’elles sont déplacées dans le cloud. Comme l’accès est accordé par le biais d’applications et en particulier aux appareils des utilisateurs, un système de classification permet de limiter l’exposition à l’exfiltration. Il peut également aider à répondre à la première question posée en cas de violation de données : Quelles données ont été exfiltrées ?

Il est crucial de comprendre le niveau de transparence d’accès de la part de tout fournisseur de cloud. Google garantit un haut niveau de transparence en utilisant ces contrôles :

  • Accès limité au centre de données d’un point de vue physique, respectant des contrôles d’accès stricts
  • Divulgation de comment et pourquoi les données des clients sont consultées
  • Incorporer un processus d’approbations d’accès

Sécurité multicouche pour une infrastructure de confiance

Pour établir une infrastructure de confiance, il est important que les clients des fournisseurs de services cloud comprennent le fonctionnement de chaque couche d’infrastructure et intègrent des règles dans chacune d’elles. L’approche multicouche de Google comprend les points suivants :

  • Sécurité opérationnelle et des appareils :  Google exécute une approche 365x24x7 pour protéger la sécurité opérationnelle et de l’appareil lorsque les données pénètrent dans l’environnement.
  • Communication Internet : Par défaut, Google crypte les données au repos et en transit. Le processus de Google de cryptage des données au repos est particulièrement remarquable. Les données au repos sont formulées en différents morceaux. Chaque morceau reçoit une clé différente et le périphérique de stockage lui-même est chiffré au niveau de la couche de stockage. D’autres contrôles sont en place pour assurer des canaux de communication appropriés.
  • Identité : Il est crucial de créer plusieurs couches d’identité et de créer des règles d’accès. Nous ne sommes plus dans un château de données entouré d’un fossé protecteur faisant fonction de pare-feu. Nos données sont partout. Cela signifie que nous devons protéger les données non seulement avec des pare-feu, mais aussi avec des activités et des contrôles sensibles à l’identité.
  • Services de stockage, déploiement de services et infrastructure matérielle : multicouche et multiniveau, et pris en charge par la sécurité par défaut.

Activités du programme de sécurité Google

Activités du programme de sécurité

& nbsp;

Comme l’illustre ce graphique, du niveau de l’infrastructure aux applications et aux données en passant par la surveillance et les opérations, la sécurité est prééminente.

L’objectif final de toutes ces activités est d’armer votre organisation contre les menaces qui existent pour les données dans le cloud, avec des mesures allant de la prévention à la détection en passant par la réponse aux incidents. La réalité est que toutes les données stockées dans le cloud sont vulnérables aux attaques.

Remarque sur la conformité

Bien que les programmes de conformité vous aident à évaluer vos risques, les organisations doivent éviter de créer des plans de sécurité des données uniquement sur la base de normes de conformité. Cela ne permet d’assurer que des niveaux d’action minimaux. Au contraire, bien qu’un programme de sécurité solide définisse et applique des politiques qui aident à assurer la conformité, il devrait être basé sur des stratégies, des activités et des contrôles personnalisés.

BeyondCorp : Le modèle Zero Trust de Google

BeyondCorp est le modèle de cadre de sécurité Zero Trust mis en œuvre par Google. Son architecture repose sur des contrôles d’accès placés sur des utilisateurs et des appareils individuels plutôt que sur des périmètres, ce qui élimine le besoin d’un VPN traditionnel. Au contraire, les employés ont un accès sécurisé aux applications Web internes hébergées n’importe où.

 

BeyondCorp

Ce diagramme montre la destination finale – applications et données – à droite, le chemin pour y arriver venant de la gauche. L’appareil et l’utilisateur (à gauche) sont tous deux des identités avec des attributs qui influencent l’autorisation d’accès.

Prêt pour une approche Zero Trust ?

En tant que partenaire Google, Cloudreach a aidé de nombreux clients tiers à mettre en œuvre des programmes de sécurité des données. Nous pouvons vous guider tout au long du processus de renforcement de la confiance, en vous aidant à naviguer dans les complexités de fournir aux utilisateurs du cloud un accès quand et où ils en ont besoin, tout en minimisant la menace pour la sécurité des données. Contactez-nous dès aujourd’hui pour en savoir plus.