Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google annonce la disponibilité de Secret Manager sur sa plateforme Cloud
Un service permettant de stocker et récupérer des informations sensibles comme les MdP et les clés d'API sur Google Cloud

Le , par Olivier Famien

149PARTAGES

3  0 
De nombreuses applications nécessitent des informations d’identification pour se connecter à une base de données, des clés d’API pour appeler un service ou des certificats pour l’authentification. La gestion et la sécurisation de l’accès à ces secrets sont souvent compliquées. Pour régler ce problème, Google vient de présenter un service cloud nommé Secret Manager. Selon les déclarations de la firme, « ;Secret Manager est un nouveau service Google Cloud qui fournit une méthode sécurisée et pratique pour stocker des clés d’API, des mots de passe, des certificats et d’autres données sensibles ;». Si vous voulez utiliser Secret Manager, il va falloir vous familiariser avec certains concepts du service.

Pour sécuriser une information sensible qui doit être utilisée dans une application par exemple, vous devez créer un secret avec Secret Manager. Le Secret est un objet global de projet qui contient une collection de métadonnées et des versions de secrets. Les métadonnées peuvent être des emplacements de réplication, des étiquettes et des autorisations, tandis que les versions de secrets stockent les données secrètes réelles, telles qu’une clé API, des mots de passe, etc. Lorsque vous créez un secret, le service ne fait que créer les métadonnées du secret. Si vous voulez intégrer la charge utile réelle du secret, il faut ajouter une version de secret.

Pour ce qui concerne les points forts du nouveau service, Google met en avant les fonctionnalités suivantes :

  • Noms globaux et réplication : les secrets sont des ressources globales du projet. Vous pouvez choisir entre des stratégies de réplication automatiques et celles gérées par l’utilisateur afin de contrôler où vos données secrètes sont stockées.
  • Gestion des versions : les données secrètes sont immuables et la plupart des opérations ont lieu sur des versions de secrets. Avec Secret Manager, vous pouvez épingler un secret à des versions spécifiques comme 42 ou à des alias flottants comme latest.
  • Principes du moindre privilège : seuls les propriétaires de projets sont autorisés à accéder aux secrets. D’autres rôles doivent être explicitement accordés pour les autorisations via Cloud IAM.
  • Journalisation d’audit : avec Cloud Audit Logging activé, chaque interaction avec Secret Manager génère une entrée d’audit. Vous pouvez ingérer ces journaux dans des systèmes de détection d’anomalies pour repérer les modèles d’accès anormaux et alerter sur d’éventuelles violations de sécurité.
  • Fortes garanties de chiffrement : les données sont chiffrées en transit avec TLS et au repos elles sont sécurisées avec des clés de chiffrement AES-256 bits. La prise en charge des clés de chiffrement gérées par le client (CMEK) sera bientôt disponible.
  • Contrôles de service VPC : Activez l’accès contextuel à Secret Manager à partir d’environnements hybrides avec les contrôles de service Cloud virtuel privé (abrégé en anglais VPC). VPC Service Controls permet aux utilisateurs de définir un périmètre de sécurité autour des ressources Google Cloud Platform, afin de restreindre les données au sein d’un VPC et de limiter les risques d’exfiltration des données. Grâce au service VPC Service Controls, les entreprises peuvent préserver la confidentialité de leurs données sensibles, tout en tirant pleinement parti des fonctionnalités de traitement des données et de stockage entièrement géré sur Google Cloud Platform.

Pour utiliser Service Manager sur Google Cloud, il faut activer l’API de Secret Manager dans la page du projet de la console GCP. Une fois que cela est fait, il faut vous assurer que la facturation est activée pour votre projet Google Cloud Platform. Puis, il va falloir activer quelques API nécessaires et finalement installer et initialiser le SDK Cloud. Lorsque vous avez franchi toutes ces étapes, vous aurez besoin du rôle Cloud Identity and Access Management (Cloud IAM) pour configurer Secret Manager. Le rôle Cloud IAM fournit les autorisations appropriées sur le projet parent, comme la possibilité de créer un administrateur, un visualiseur ou encore un accesseur. Avec un compte administrateur, vous pourrez créer un secret et une version de secret et accéder aux éléments. Google précise que Secret Manager met automatiquement à jour les données secrètes à l’aide des versions de secrets, et la plupart des opérations, telles que l’accès, la destruction, la désactivation et l’activation, ont lieu sur une version secrète.

Il faut noter que Google n’est pas à son premier service de gestion des secrets. Berglas qui est un outil de ligne de commande et une bibliothèque permet de gérer les secrets sur Google Cloud. Pour ceux qui se sont déjà familiarisés à Berglas, Google explique que vous pouvez continuer à l’utiliser et à partir de la version 0.5.0, vous pouvez l’utiliser pour créer des secrets et y accéder directement depuis Secret Manager. Si par contre vous souhaitez déplacer vos secrets de Berglas vers Secret Manager, la commande berglas migrate fournit une migration automatisée.

Secret Manager est disponible en version bêta pour tous les clients Google Cloud dès aujourd’hui.

Source : Google

Et vous ?

:fleche: Avez-vous testé Secret Manager ;? Comment le trouvez-vous ;?

:fleche: Quel outil utilisez-vous pour gérer vos informations secrètes dans le Cloud ? Pourquoi ?

Voir aussi

:fleche: Google Cloud Platform parvient à se rapprocher des performances d'AWS et de Microsoft Azure, selon un rapport
:fleche: Twitter migre les données de son réseau social vers Google Cloud Platform, quelles sont les raisons de ce choix ?
:fleche: Microsoft Azure serait supérieur à Google Cloud Platform et à AWS en termes de performances réseau, d'après un rapport de ThousandEyes
:fleche: Google Summit Paris 2019, le grand rendez-vous annuel de l'innovation Cloud revient pour une nouvelle édition, le mardi 18 juin 2019 à Paris
:fleche: GitLab annonce que le processus de migration d'Azure à Google cloud platform court vers son terme : encore un mois

Une erreur dans cette actualité ? Signalez-le nous !