Cloud Platform : Google améliore contrôle et visibilité
Le géant du Web vient d’enrichir sa plateforme de services Cloud de fonctionnalités améliorant le contrôle et la protection des données clients, ainsi que la visibilité sur les actifs.
Google vient d’ajouter à sa plateforme de services Cloud, Google Cloud Platform (GCP), toute une série de fonctionnalités qui doivent répondre à certaines demandes des entreprises pour plus de contrôle et de visibilité sur leurs déploiements en cloud public.
Et cela commence par les VPC Service Controls. Ceux-ci doivent permettre de définir granulairement des niveaux de sécurité différenciés autour de toutes les ressources consommées au sein de GCP, qu’il s’agisse de ressources de stockage, d’instances Bigtable ou de jeux de données BigQuery. Et cela vaut également pour les communications entre ces ressources et d’autres, qu’elles soient déployées sur d’autres environnements Cloud, ou dans un centre de calcul interne. Au passage, il est possible de contextualiser le contrôle d’accès aux ressources, sur la base, par exemple, de la localisation géographique de l’utilisateur, ou de son adresse IP. Une trace d’audit des rejets de demandes d’accès est assurée.
La fin du Cloud boîte noire ?
Une telle trace doit également être générée en quasi-temps réel pour les accès administratifs autorisés. Il s’agit de la fonctionnalité Access Transparency. Ces journaux peuvent être exportés dans BigQuery ou Cloud Storage pour stockage et archivage, ou encore via PubSub pour alimenter un pipeline d’audit, voir un système de gestion des informations et des événements de sécurité (SIEM).
A cela s’ajoute le Cloud Security Command Center (SCC), présenté comme une plateforme devant aider « les entreprises à collecter les données, identifier les menaces, et agir », avant d’éventuels incidents et dégâts. Pour cela, le SCC doit fournir une vision consolidée de tous les actifs d’un client entre App Engine, Compute Engine, Cloud Storage, et Cloud Datastore. De quoi notamment aider à identifier d’éventuelles ressources orphelines, entre autres.
Mais le SCC va plus loin, en s’intégrant avec l’API dédiée à la prévention des fuites de données, Cloud DLP, qui doit aider à identifier données sensibles et personnelles. Les détecteurs peuvent être là personnalisés. Et ce n’est pas tout : SCC s’intègre également avec le Cloud Security Scanner de Google et la trousse à outils Forseti, entre autres produits tiers, dont ceux Qualys ou encore Redlock.
Rattraper un certain retard
Enfin, Google ajoute à l’éventail de nouveautés Cloud Armour, un service de protection applicative, « basé sur les mêmes technologies et l’infrastructure globale » utilisée par le géant du Web pour protéger ses services. Au programme, donc, protection contre les dénis de service distribués (DDoS), équilibrage de charge, gestion de listes blanches/noires, protection contre les attaques par XSS ou encore injection SQL. Le service est facturé à partir de 0,75 $ par million de requêtes http(s).
Avec ces annonces, Google apparaît surtout revenir au niveau de ce qu’offrent ses concurrents. Par exemple, EWS GuarDuty s’assure d’identifier les défauts de configuration. AWS CloudTrail et Azure Activity Logs doivent eux aussi offrir des capacités de journalisation et d’audit améliorées. Quant à l’API de DLP de Google, elle rappelle Amazon Macie.