Serveur minecraft

Google Cloud Platform renforce ses 30 annonces de sécurité – Resoudre les problemes d’un serveur MineCraft

Le 28 janvier 2020 - 13 minutes de lecture

Tout au long de Google Cloud Next 2019 cette semaine, les dirigeants de Google ont répété un nombre: 30 annonces liées à la sécurité. Nous ne savons pas exactement comment l'entreprise compte, mais le message est clair: Google Cloud Platform (GCP) devient plus sûr. Le point culminant était sans aucun doute les clés de sécurité du téléphone Android.

Mais ce n'était que le début. Les annonces vont des toutes nouvelles offres aux fonctionnalités existantes qui atteignent la disponibilité générale. Ils couvrent une visibilité accrue, détectent les menaces, accélèrent les réponses et les mesures correctives, atténuent les risques d'exfiltration des données, garantissent une chaîne d'approvisionnement logicielle sécurisée et renforcent la conformité aux politiques. Google a même essayé de diviser tout cela en trois catégories: la sécurité du cloud, la sécurité dans le cloud et les services de sécurité. Mais c'est tout un non-sens comme le chiffre 30. Nous ne savons pas si nous avons reçu les 30 annonces, mais voici un aperçu de ce que nous avons obtenu.

Gestion du cloud du navigateur Chrome

Annoncée sur Google Cloud Next 2018 en version bêta, Chrome Browser Cloud Management est désormais généralement disponible pour les entreprises. Chrome Browser Cloud Management permet aux administrateurs de gérer Chrome dans le cloud:

  • Console d'administration Google: gérez les navigateurs dans vos environnements Windows, Mac et Linux à partir d'un seul emplacement. Vous pouvez également définir et appliquer des politiques sur tous les navigateurs et, si vous gérez déjà des Chromebooks ou G Suite, accédez à tous à partir de la même console.
  • Extensions: obtenez une vue organisationnelle complète de l'utilisation des extensions et accédez au niveau de chaque machine. Vous pouvez bloquer ou autoriser des extensions individuelles dans l'ensemble de l'organisation ou pour des groupes organisationnels spécifiques.
  • Détails du navigateur: accédez à des informations importantes sur les versions du navigateur, le type d'appareil, les stratégies appliquées, etc. Vous pouvez également exporter des données vers d'autres systèmes ou outils.

Si vous êtes un client G Suite, Chrome Browser Enterprise, une licence Chrome Enterprise ou Cloud Identity, vous avez déjà accès à Chrome Browser Cloud Management dans la console. Tout le monde peut essayer la gestion du cloud du navigateur Chrome en créant simplement un compte de test.

Transparence d'accès

Google dispose déjà d'Access Transparency for GCP, un service qui crée des journaux en temps quasi réel lorsque les administrateurs GCP interagissent avec vos données pour obtenir de l'aide. Il a également l'approbation d'accès pour GCP, qui vous permet d'approuver explicitement l'accès à vos données ou configurations sur GCP avant qu'il ne se produise.

Maintenant, Google annonce que la transparence d'accès pour G Suite est généralement disponible dans G Suite Enterprise. Cette fonctionnalité offre une visibilité sur l'accès aux données G Suite par les employés de Google Cloud. La console d'administration G Suite documente chaque accès, la raison et tous les tickets d'assistance pertinents. De plus, l'approbation d'accès est désormais disponible en version bêta pour Google Compute Engine, Google App Engine, Google Cloud Storage et de nombreux autres services. Google lance également un tout nouveau produit appelé Access Approvals. Cela vous permet d'approuver explicitement l'accès au préalable. Au lieu d'un ingénieur Google qui s'auto-approuve, les demandes sont adressées au client, qui doit approuver ou refuser l'accès.

"Nous pensons que c'est unique", a déclaré Mike Aiello de Google Cloud. "Et nous en sommes très fiers, car cela donne vraiment le maximum de contrôle aux clients sur ce que même les initiés de Google font avec leurs données."

Interface utilisateur DLP et contrôles de service VPC

Ensuite, Google lance l'interface utilisateur Data Loss Prevention (DLP) en version bêta, permettant aux entreprises de découvrir et de surveiller les données sensibles à l'échelle du cloud. L'interface, disponible à partir de la console GCP, vous permet d'exécuter des analyses DLP en quelques clics, sans aucun code, matériel ou VM à gérer.

Votre cloud privé virtuel (VPC) est sur le point de s'améliorer. Les contrôles de service VPC, désormais généralement disponibles, vous permettent de définir un périmètre de sécurité autour de ressources GCP spécifiques pour aider à atténuer les risques d'exfiltration des données.

Centre de commande Cloud Security

Le Cloud Security Command Center (Cloud SCC) de Google, une plate-forme complète de gestion de la sécurité et de risque de données pour GCP, est désormais généralement disponible. Cloud SCC est un endroit unique pour prévenir, détecter et répondre aux menaces à travers GCP, avec de nouveaux services entrants:

  • La détection des menaces d'événements (bêta) utilise des modèles d'intelligence exclusifs à Google pour détecter rapidement les menaces nuisibles telles que les logiciels malveillants, l'extraction de crypto et les attaques DDoS sortantes. Il analyse les journaux Stackdriver pour détecter toute activité suspecte dans votre environnement GCP, distille les résultats et les signale pour correction.
  • Security Health Analytics (alpha) analyse automatiquement votre infrastructure GCP pour résoudre les problèmes de configuration avec les compartiments de stockage public, les ports de pare-feu ouverts, les clés de chiffrement périmées, la journalisation de la sécurité désactivée et bien plus encore.
  • Cloud Security Scanner (disponibilité générale pour App Engine, bêta pour Google Kubernetes Engine et Compute Engine) détecte les vulnérabilités telles que les scripts intersites (XSS), l'utilisation de mots de passe en texte clair et les bibliothèques obsolètes dans vos applications GCP.
  • Les intégrations de partenaires de sécurité (GCP Marketplace) avec Capsule8, Cavirin, Chef, McAfee, Redlock, Stackrox, Tenable.io et Twistlock consolident les résultats et accélèrent la réponse.

Cloud SCC vous aide également à répondre aux menaces et à corriger les découvertes en exportant les incidents. Le nouvel outil de gestion et de réponse aux incidents Stackdriver (bientôt disponible en version bêta) peut suivre les incidents.

Rapports de sécurité Apigee

Apigee, la plateforme de gestion des API de Google Cloud, reçoit de nouveaux rapports de sécurité (bientôt en version bêta) pour montrer l'état de santé et de sécurité de vos programmes d'API. Cet outil est destiné à contrecarrer les attaquants qui ciblent les API exposées aux développeurs à l'intérieur et à l'extérieur des organisations.

Les rapports de sécurité d'Apigee peuvent identifier les API qui n'adhèrent pas aux protocoles de sécurité et les groupes d'utilisateurs qui publient les API les plus sensibles. Les résultats seront accessibles dans la console Apigee et via l'API.

Sécuriser la chaîne logistique des logiciels

Google annonce également des services GKE pour aider à renforcer la confiance dans votre chaîne d'approvisionnement de logiciels conteneurisés:

  • Container Registry (bientôt disponible en général), le registre Docker privé de Google, comprend l'analyse des vulnérabilités, une intégration native pour GKE qui identifie les vulnérabilités des packages pour Ubuntu, Debian et Alpine Linux. En bref, il trouve des vulnérabilités avant le déploiement de vos conteneurs.
  • L'autorisation binaire (bientôt disponible en général) est un contrôle de sécurité au moment du déploiement qui s'intègre à votre système CI / CD, garantissant que les images de conteneur répondent aux exigences de déploiement de votre organisation. L'autorisation binaire peut être intégrée à l'analyse des vulnérabilités de Container Registry, au service de gestion des clés Cloud et au centre de commande Cloud Security.
  • GKE Sandbox (bêta à venir), basé sur le projet open source gVisor, fournit une isolation supplémentaire pour les charges de travail multi-locataires. Cela permet d'éviter les fuites de conteneurs, augmentant ainsi la sécurité de la charge de travail.
  • Les certificats SSL gérés (bêta) vous offrent une gestion complète du cycle de vie (approvisionnement, déploiement, renouvellement et suppression) de vos certificats d'entrée GKE. Les certificats SSL gérés visent à faciliter le déploiement, la gestion et l'exploitation d'applications sécurisées basées sur GKE à grande échelle.
  • Les VM blindées (généralement disponibles) offrent une intégrité vérifiable de vos instances de VM Compute Engine. Plus de 21 000 instances de VM blindées sont déjà déployées sur GCP.

Sécurisation des données G Suite

Google annonce également de nouvelles façons d'aider à protéger, contrôler et éliminer les menaces pesant sur les données G Suite:

  • Améliorations des régions de données (disponibilité générale): les clients G Suite Business et Enterprise peuvent désormais désigner la région dans laquelle les données couvertes au repos sont stockées. Cela peut être mondial, aux États-Unis ou en Europe. Les régions de données bénéficient également d'une couverture pour les sauvegardes.
  • Protection des e-mails: une protection avancée contre le phishing et les logiciels malveillants (bêta) peut aider les administrateurs à se protéger contre les pièces jointes anormales et les e-mails entrants usurpant votre domaine. Le sandbox de sécurité (bêta) aide à protéger les entreprises clientes contre les ransomwares, les malwares sophistiqués et les menaces zero-day.
  • Le centre de sécurité (bêta) et le centre d'alerte (bêta) proposent des recommandations de bonnes pratiques, des notifications unifiées et une correction intégrée. Les administrateurs peuvent enregistrer et partager leurs enquêtes dans l'outil d'enquête de sécurité, ainsi qu'indiquer l'état et la gravité des alertes et attribuer des alertes. Les administrateurs peuvent également créer des règles dans le centre de sécurité qui effectuent des actions automatisées ou envoient des notifications au centre d'alerte, où les équipes d'administrateurs et d'analystes peuvent travailler ensemble pour s'approprier et mettre à jour le statut au cours des enquêtes de sécurité.

Sécurisation des internautes

Google a également introduit deux nouveaux services de protection des utilisateurs de Google Cloud:

  • Protection contre le phishing (version bêta): signalez les URL dangereuses à la navigation sécurisée Google et affichez leur état dans Cloud Security Command Center. C'est la manière dont Google aide les entreprises à lutter contre les sites Web de phishing utilisant votre nom et votre logo.
  • reCAPTCHA Enterprise (beta): S'appuyant sur reCAPTCHA, ce service défend votre site Web contre les activités frauduleuses telles que le grattage, le bourrage d'informations d'identification et la création de compte automatisée.

Accès sensible au contexte

Google met à disposition des capacités d'accès contextuelles généralement disponibles dans Cloud Identity-Aware Proxy (IAP) et VPC Service Controls, et les lance en version bêta vers Cloud Identity et G Suite. Il renomme également Cloud Identity for Customers and Partners (CICP) en Identity Platform et lance le service géré pour Microsoft Active Directory (AD).

  • Accès contextuel (généralement disponible): donne aux administrateurs la possibilité d'imposer des stratégies conditionnelles autour des API GCP, des ressources, de G Suite (y compris Gmail, Drive, Docs, Sheets, Slides, Forms, Calendar et Keep) et des applications tierces , leur permettant d'autoriser ou de refuser l'accès en fonction de l'identité, de l'emplacement, de l'état de sécurité de l'appareil et du contexte des utilisateurs.
  • Plateforme d'identité (généralement disponible): elle est basée sur la technologie d'identité interne de Google et sa plate-forme de développement d'applications Firebase et offre un cadre personnalisable qui gère les flux d'applications pour l'inscription et la connexion des utilisateurs. Identity Platform prend en charge l'authentification de base par e-mail et mot de passe, les numéros de téléphone et les comptes de médias sociaux, en plus de schémas plus sophistiqués tels que SAML (Security Assertion Markup Language) et OpenID Connect (OIDC). Et il est compatible avec une gamme de kits de développement logiciel (SDK) côté client sur les plates-formes Web et mobiles (sur iOS et Android), ainsi que les SDK côté serveur, notamment Node.js, Java et Python. La détection de menaces automatisée intégrée exploite l'intelligence cloud de Google pour détecter les signes de compromission d'un compte. Parallèlement, en termes d'évolutivité, Cloud Identity inclut une «disponibilité de niveau entreprise» et une assistance technique au lancement.
  • Service géré pour Microsoft Active Directory (AD): service Google Cloud exécutant Microsoft AD conçu pour aider à gérer les charges de travail dépendantes du cloud et à automatiser la maintenance et la configuration du serveur AD. Google affirme que pratiquement toutes les applications prenant en charge LDAP sur SSL, y compris celles qui s'appuient sur une infrastructure d'identité héritée, comme Microsoft Active Directory, sont compatibles avec LDAP sécurisé.

À propos du service géré pour Microsoft Active Directory (AD), le chef de produit Rob Kochman a déclaré que la plupart des organisations utilisent Active Directory comme source de vérité d'annuaire – c'est là qu'elles stockent des informations sur leurs utilisateurs et comptes. Google veut leur permettre de le faire dans le cloud.

"Alors que ces clients migrent des charges de travail centrées sur Windows vers le cloud, ils doivent pouvoir exécuter Microsoft Active Directory", a-t-il déclaré. «Le défi pour eux est que cela peut être complexe, surtout si vous avez un environnement très complexe. Donc, ce que nous leur offrons en tant que service Google Cloud hautement disponible, renforcé et géré pour exécuter Active Directory. Il s'agit de Microsoft Active Directory, et non d'un service compatible qui leur permet de simplifier la gestion, de simplifier la sécurité et de rendre très facile l'utilisation d'Active Directory en tant que fournisseur d'identité sur Google Cloud Platform. »

Google a également révélé qu'il travaillait avec des fournisseurs (HRMS) tels que ADP, BambooHR, Namely et Ultimate Software pour intégrer leurs plates-formes à Cloud Identity. Ces intégrations, ainsi que la prise en charge de Dashboard et SSO pour les applications avec coffre-fort de mot de passe, seront généralement disponibles dans les prochains mois.

Si nous avons manqué quelque chose, faites-le nous savoir. Si vous recherchez l'histoire de l'apprentissage automatique, consultez notre couverture de Policy Intelligence (alpha).

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.