Google annonce la disponibilité de Secret Manager sur sa plateforme Cloud
Google annonce la disponibilité de Secret Manager sur sa plateforme Cloud,
un nouveau service permettant de stocker et récupérer des informations sensibles comme les MdP et les clés d’API sur Google Cloud
De nombreuses applications nécessitent des informations d’identification pour se connecter à une base de données, des clés d’API pour appeler un service ou des certificats pour l’authentification. La gestion et la sécurisation de l’accès à ces secrets sont souvent compliquées. Pour régler ce problème, Google vient de présenter un service cloud nommé Secret Manager. Selon les déclarations de la firme, « Secret Manager est un nouveau service Google Cloud qui fournit une méthode sécurisée et pratique pour stocker des clés d’API, des mots de passe, des certificats et d’autres données sensibles ». Si vous voulez utiliser Secret Manager, il va falloir vous familiariser avec certains concepts du service.
Pour sécuriser une information sensible qui doit être utilisée dans une application par exemple, vous devez créer un secret avec Secret Manager. Le Secret est un objet global de projet qui contient une collection de métadonnées et des versions de secrets. Les métadonnées peuvent être des emplacements de réplication, des étiquettes et des autorisations, tandis que les versions de secrets stockent les données secrètes réelles, telles qu’une clé API, des mots de passe, etc. Lorsque vous créez un secret, le service ne fait que créer les métadonnées du secret. Si vous voulez intégrer la charge utile réelle du secret, il faut ajouter une version de secret.
Pour ce qui concerne les points forts du nouveau service, Google met en avant les fonctionnalités suivantes :
- Noms globaux et réplication : les secrets sont des ressources globales du projet. Vous pouvez choisir entre des stratégies de réplication automatiques et celles gérées par l’utilisateur afin de contrôler où vos données secrètes sont stockées.
- Gestion des versions : les données secrètes sont immuables et la plupart des opérations ont lieu sur des versions de secrets. Avec Secret Manager, vous pouvez épingler un secret à des versions spécifiques comme 42 ou à des alias flottants comme latest.
- Principes du moindre privilège : seuls les propriétaires de projets sont autorisés à accéder aux secrets. D’autres rôles doivent être explicitement accordés pour les autorisations via Cloud IAM.
- Journalisation d’audit : avec Cloud Audit Logging activé, chaque interaction avec Secret Manager génère une entrée d’audit. Vous pouvez ingérer ces journaux dans des systèmes de détection d’anomalies pour repérer les modèles d’accès anormaux et alerter sur d’éventuelles violations de sécurité.
- Fortes garanties de chiffrement : les données sont chiffrées en transit avec TLS et au repos elles sont sécurisées avec des clés de chiffrement AES-256 bits. La prise en charge des clés de chiffrement gérées par le client (CMEK) sera bientôt disponible.
- Contrôles de service VPC : Activez l’accès contextuel à Secret Manager à partir d’environnements hybrides avec les contrôles de service Cloud virtuel privé (abrégé en anglais VPC). VPC Service Controls permet aux utilisateurs de définir un périmètre de sécurité autour des ressources Google Cloud Platform, afin de restreindre les données au sein d’un VPC et de limiter les risques d’exfiltration des données. Grâce au service VPC Service Controls, les entreprises peuvent préserver la confidentialité de leurs données sensibles, tout en tirant pleinement parti des fonctionnalités de traitement des données et de stockage entièrement géré sur Google Cloud Platform.
Pour utiliser Service Manager sur Google Cloud, il faut activer l’API de Secret Manager dans la page du projet de la console GCP. Une fois que cela est fait, il faut vous assurer que la facturation est activée pour votre projet Google Cloud Platform. Puis, il va falloir activer quelques API nécessaires et finalement installer et initialiser le SDK Cloud. Lorsque vous avez franchi toutes ces étapes, vous aurez besoin du rôle Cloud Identity and Access Management (Cloud IAM) pour configurer Secret Manager. Le rôle Cloud IAM fournit les autorisations appropriées sur le projet parent, comme la possibilité de créer un administrateur, un visualiseur ou encore un accesseur. Avec un compte administrateur, vous pourrez créer un secret et une version de secret et accéder aux éléments. Google précise que Secret Manager met automatiquement à jour les données secrètes à l’aide des versions de secrets, et la plupart des opérations, telles que l’accès, la destruction, la désactivation et l’activation, ont lieu sur une version secrète.
Il faut noter que Google n’est pas à son premier service de gestion des secrets. Berglas qui est un outil de ligne de commande et une bibliothèque permet de gérer les secrets sur Google Cloud. Pour ceux qui se sont déjà familiarisés à Berglas, Google explique que vous pouvez continuer à l’utiliser et à partir de la version 0.5.0, vous pouvez l’utiliser pour créer des secrets et y accéder directement depuis Secret Manager. Si par contre vous souhaitez déplacer vos secrets de Berglas vers Secret Manager, la commande berglas migrate fournit une migration automatisée.
Secret Manager est disponible en version bêta pour tous les clients Google Cloud dès aujourd’hui.
Source : Google
Et vous ?
Avez-vous testé Secret Manager ? Comment le trouvez-vous ?
Voir aussi
Répondre avec citation
Partager