rvlsoft - Fotolia
Google renforce la sécurité de sa plateforme Cloud
Le géant du Web affine le contrôle d’accès, et ajoute une couche de prévention des fuites de données. Il ouvre aussi en grand les vannes de son service de gestion des clés de chiffrement.
Google a profité de sa conférence Next 2017 pour multiplier les annonces autour de la sécurité de sa plateforme Cloud. Et cela commence au plus bas niveau de l’infrastructure, avec le micro-contrôleur réseau Titan. Celui-ci renvoie en fait à la présentation faite mi-janvier par les équipes de la Google Cloud Platform (GCP) qui décrivaient alors une architecture où les serveurs « utilisent diverses technologies pour s’assurer qu’ils exécutent la bonne pile logicielle ». Ce sont là des signatures cryptographiques qui sont à l’œuvre « pour les composants de bas niveau tels que le BIOS, le bootloader, le noyau et l’image de base du système d’exploitation », afin de les valider à chaque démarrage ou mise à jour. Qui plus est, « ces composants sont tous durcis, contrôlés et construits par Google ». Chaque machine dispose en outre de son identité unique « utilisée pour identifier les appels aux API depuis et vers les services d’administration de bas niveau de la machine ».
Mais ce n’est pas tout. A l’occasion de Next, Google a présenté, en bêta, un nouveau système de contrôle des accès aux applications déployées sur GCP, l’Identity-aware proxy (IAP). Pour le décrire, Google le compare à un VPN, qui ne contrôle que l’accès des utilisateurs à l’infrastructure, sans vérifier granulairement leurs droits d’accès à chacune des applications. Ce que doit justement assurer IAP, dans une approche en ligne avec la stratégie de sécurité sans périmètre BeyondCorp détaillée par Google début 2016. Mais encore faut-il s’assurer de l’identité de l’utilisateurs à l’authentification. Et justement, pour renforcer ce processus, GCP supporte désormais officiellement - avec G-Suite - le fait d’imposer aux utilisateurs les clés de sécurité physiques, à l’instar des YubiKey de Yubico, comme second facteur d’authentification.
GCP se dote aussi d’une API de prévention des fuites de données (DLP), en phase bêta. Celle-ci ambitionne de simplifier la découverte et la classification des données sensibles, en intégrant des mécanismes d’alerte des utilisateurs lorsqu’ils enregistrent de telles données dans les applications s’exécutant du GCP. Des capacités de reporting sont également prévues. Plus d’une quarantaine de détecteurs sont pré-définis ; l’utilisation de cette API est facturée selon les volumes de données traitées, à partir de 3 $ par gigaoctet en inspection de stockage entre un et 10 To.
Enfin, Google ouvre officiellement les vannes de son service de gestion de clés de chiffrement AES 256. Celui-ci a, durant sa phase bêta, pu impressionner par sa simplicité. Mais sans réussir à véritablement se démarquer de celui proposé par Amazon et utilisé notamment par Box, ou encore celui de Microsoft.