Pour sécuriser une information sensible qui doit être utilisée dans une application par exemple, vous devez créer un secret avec Secret Manager. Le Secret est un objet global de projet qui contient une collection de métadonnées et des versions de secrets. Les métadonnées peuvent être des emplacements de réplication, des étiquettes et des autorisations, tandis que les versions de secrets stockent les données secrètes réelles, telles qu’une clé API, des mots de passe, etc. Lorsque vous créez un secret, le service ne fait que créer les métadonnées du secret. Si vous voulez intégrer la charge utile réelle du secret, il faut ajouter une version de secret.
Pour ce qui concerne les points forts du nouveau service, Google met en avant les fonctionnalités suivantes :
- Noms globaux et réplication : les secrets sont des ressources globales du projet. Vous pouvez choisir entre des stratégies de réplication automatiques et celles gérées par l’utilisateur afin de contrôler où vos données secrètes sont stockées.
- Gestion des versions : les données secrètes sont immuables et la plupart des opérations ont lieu sur des versions de secrets. Avec Secret Manager, vous pouvez épingler un secret à des versions spécifiques comme 42 ou à des alias flottants comme latest.
- Principes du moindre privilège : seuls les propriétaires de projets sont autorisés à accéder aux secrets. D’autres rôles doivent être explicitement accordés pour les autorisations via Cloud IAM.
- Journalisation d’audit : avec Cloud Audit Logging activé, chaque interaction avec Secret Manager génère une entrée d’audit. Vous pouvez ingérer ces journaux dans des systèmes de détection d’anomalies pour repérer les modèles d’accès anormaux et alerter sur d’éventuelles violations de sécurité.
- Fortes garanties de chiffrement : les données sont chiffrées en transit avec TLS et au repos elles sont sécurisées avec des clés de chiffrement AES-256 bits. La prise en charge des clés de chiffrement gérées par le client (CMEK) sera bientôt disponible.
- Contrôles de service VPC : Activez l’accès contextuel à Secret Manager à partir d’environnements hybrides avec les contrôles de service Cloud virtuel privé (abrégé en anglais VPC). VPC Service Controls permet aux utilisateurs de définir un périmètre de sécurité autour des ressources Google Cloud Platform, afin de restreindre les données au sein d’un VPC et de limiter les risques d’exfiltration des données. Grâce au service VPC Service Controls, les entreprises peuvent préserver la confidentialité de leurs données sensibles, tout en tirant pleinement parti des fonctionnalités de traitement des données et de stockage entièrement géré sur Google Cloud Platform.
Pour utiliser Service Manager sur Google Cloud, il faut activer l’API de Secret Manager dans la page du projet de la console GCP. Une fois que cela est fait, il faut vous assurer que la facturation est activée pour votre projet Google Cloud Platform. Puis, il va falloir activer quelques API nécessaires et finalement installer et initialiser le SDK Cloud. Lorsque vous avez franchi toutes ces étapes, vous aurez besoin du rôle Cloud Identity and Access Management (Cloud IAM) pour configurer Secret Manager. Le rôle Cloud IAM fournit les autorisations appropriées sur le projet parent, comme la possibilité de créer un administrateur, un visualiseur ou encore un accesseur. Avec un compte administrateur, vous pourrez créer un secret et une version de secret et accéder aux éléments. Google précise que Secret Manager met automatiquement à jour les données secrètes à l’aide des versions de secrets, et la plupart des opérations, telles que l’accès, la destruction, la désactivation et l’activation, ont lieu sur une version secrète.
Il faut noter que Google n’est pas à son premier service de gestion des secrets. Berglas qui est un outil de ligne de commande et une bibliothèque permet de gérer les secrets sur Google Cloud. Pour ceux qui se sont déjà familiarisés à Berglas, Google explique que vous pouvez continuer à l’utiliser et à partir de la version 0.5.0, vous pouvez l’utiliser pour créer des secrets et y accéder directement depuis Secret Manager. Si par contre vous souhaitez déplacer vos secrets de Berglas vers Secret Manager, la commande berglas migrate fournit une migration automatisée.
Secret Manager est disponible en version bêta pour tous les clients Google Cloud dès aujourd’hui.
Source : Google
Et vous ?
Avez-vous testé Secret Manager ;? Comment le trouvez-vous ;?
Quel outil utilisez-vous pour gérer vos informations secrètes dans le Cloud ? Pourquoi ?
Voir aussi
Google Cloud Platform parvient à se rapprocher des performances d'AWS et de Microsoft Azure, selon un rapport
Twitter migre les données de son réseau social vers Google Cloud Platform, quelles sont les raisons de ce choix ?
Microsoft Azure serait supérieur à Google Cloud Platform et à AWS en termes de performances réseau, d'après un rapport de ThousandEyes
Google Summit Paris 2019, le grand rendez-vous annuel de l'innovation Cloud revient pour une nouvelle édition, le mardi 18 juin 2019 à Paris
GitLab annonce que le processus de migration d'Azure à Google cloud platform court vers son terme : encore un mois