Sicherheit, Datenschutz, Risiken und Compliance für AlloyDB for PostgreSQL

In diesem Dokument finden Sie eine Übersicht über verschiedene Kontrollen, die die Sicherheit von AlloyDB for PostgreSQL auf Google Cloud unterstützen, sowie Links zu weiteren Informationen zur Konfiguration der Kontrollen. Sicherheitskontrollen wie Optionen für die Netzwerksicherheit, Richtlinien und Zugriffsverwaltung können Ihnen auch dabei helfen, Ihre Geschäftsrisiken zu minimieren und die Datenschutz- und regulatorischen Anforderungen zu erfüllen, die für Ihr Unternehmen gelten.

Die Sicherheit, der Datenschutz, das Risiko und die Compliance für AlloyDB for PostgreSQL basieren auf einem Modell der gemeinsamen Verantwortung. Google schützt beispielsweise die Infrastruktur, auf der AlloyDB for PostgreSQL und andere Google Cloud Dienste ausgeführt werden, und bietet Ihnen die Funktionen, mit denen Sie den Zugriff auf Ihre Dienste und Ressourcen verwalten können. Weitere Informationen dazu, wie wir die Infrastruktur schützen, finden Sie in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

AlloyDB-Architektur

Das folgende Diagramm zeigt die Komponenten der AlloyDB-Architektur.

Die Komponenten umfassen:

• AlloyDB-Instanzen werden in mehreren Zonen bereitgestellt, um Hochverfügbarkeit und Ausfallsicherheit zu ermöglichen.
• Eine Anwendung in Google Cloud oder in einer anderen Umgebung, die eine Verbindung zur primären Instanz von AlloyDB herstellt. Im Diagramm wird die Anwendung im selben Google Cloud Projekt wie AlloyDB ausgeführt. Sie können die Anwendung aber auch in einem anderen Projekt in IhrerGoogle Cloud Organisation ausführen.
• In einer Hybridumgebung kann Cloud VPN oder Cloud Interconnect Zugriff auf Ressourcen in Ihrem Unternehmensnetzwerk ermöglichen.
• Ein Dienstperimeter, der mit VPC Service Controls erstellt wurde. Mit VPC Service Controls können Sie die Übertragung von Daten zwischen Google-Diensten oder ‑Ressourcen steuern und eine kontextbasierte Perimetersicherheit einrichten.

Informationen zum AlloyDB-Endpunkt finden Sie unter AlloyDB API. Dieser Endpunkt ist standardmäßig kein öffentlich routingfähiger Endpunkt und kann keinen eingehenden Traffic aus öffentlichen Netzwerken empfangen. Informationen dazu, wie Sie AlloyDB-Instanzen für den Empfang von eingehendem Traffic über öffentliche Netzwerke konfigurieren, finden Sie unter Verbindung über öffentliche IP-Adresse herstellen.

Informationen zu AlloyDB-Connectors finden Sie unter Anwendungsanbindung.

Bereitgestellte Dienste

Wenn Sie mit AlloyDB beginnen, aktivieren Sie die folgenden APIs:

• alloydb.googleapis.com
• compute.googleapis.com
• cloudresourcemanager.googleapis.com
• servicenetworking.googleapis.com

Weitere Informationen finden Sie unter Kurzanleitung: Datenbank erstellen und eine Verbindung dazu herstellen.

Authentifizierung für die Verwaltung von Google Cloud

Administratoren und Entwickler, die AlloyDB-Instanzen erstellen und verwalten, müssen sich bei Google Cloud authentifizieren, um ihre Identität und Zugriffsrechte zu bestätigen. Sie müssen für jeden Nutzer ein Nutzerkonto einrichten, das von Cloud Identity, Google Workspace oder einem Identitätsanbieter verwaltet wird, den Sie mit Cloud Identity oder Google Workspaceverbunden haben. Weitere Informationen finden Sie unter Übersicht über die Identitäts- und Zugriffsverwaltung.

Nachdem Sie die Nutzerkonten erstellt haben, sollten Sie Sicherheits-Best Practices wie Single Sign-On und 2-Faktor-Authentifizierung implementieren. Weitere Best Practices für die Authentifizierung finden Sie unter Identität und Zugriff verwalten.

Identity and Access Management

Wenn Sie IAM-Rollen (Identity and Access Management) für Ihre Administratoren und Entwickler in großem Umfang verwalten möchten, sollten Sie separate funktionale Gruppen für die verschiedenen Datenbanknutzerrollen und Anwendungen erstellen. Weisen Sie Ihren Gruppen die IAM-Rollen oder -Berechtigungen zu, die zum Verwalten von AlloyDB erforderlich sind. Wenn Sie Ihren Gruppen Rollen zuweisen, sollten Sie das Prinzip der geringsten Berechtigung und andere IAM-Best Practices für die Sicherheit beachten. Weitere Informationen finden Sie unter Best Practices für die Verwendung von Google Groups.

Weitere Informationen zum Einrichten von IAM finden Sie in der IAM-Übersicht.

Wenn Clients die IAM-Datenbankauthentifizierung für den Zugriff auf AlloyDB verwenden, können Sie auch IAM verwenden, um ihren Zugriff auf AlloyDB zu steuern. Weitere Informationen zu den für AlloyDB erforderlichen IAM-Rollen finden Sie unter IAM-Rollen und -Berechtigungen für AlloyDB.

Wenn Sie den Auth-Proxy oder die Sprach-Connectors verwenden (wie unter Anwendungsverbindung beschrieben), können Sie mit IAM steuern, welche Anwendungs-Workloads eine Verbindung zu AlloyDB herstellen können. Weitere Informationen zur Verwendung von IAM mit dem Auth-Proxy finden Sie unter IAM-Hauptkonto auswählen und für die Autorisierung vorbereiten. Informationen zur Verwendung der automatischen IAM-Authentifizierung mit den AlloyDB Language Connectors finden Sie unter IAM-Authentifizierung verwalten.

Standarddienstkonten und Dienst-Agents

Ein Dienstkonto ist eine spezielle Art von nicht interaktivem Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs zu erhalten. Da AlloyDB ein vollständig verwalteter Dienst ist, verwaltet Google Ihr AlloyDB-Dienstkonto in Ihrem Namen. Wenn Sie AlloyDB aktivieren, wird für Ihr Projekt (service-PROJECT_NUMBER-gcp-sa-alloydb-iam.gserviceaccount.com) ein AlloyDB-Dienstkonto erstellt. AlloyDB-Ressourcen wie der PostgreSQL-Server verwenden dieses Dienstkonto für die Ausführung.

Dienst-Agents sind die IAM-Rollen und -Berechtigungen, die von einigen Google Cloud-Diensten verwendet werden, damit sie auf Ihre Ressourcen zugreifen und in Ihrem Namen handeln können. Das verwaltete AlloyDB-Dienstkonto verwendet die IAM-Berechtigungen des AlloyDB-Dienst-Agents.

Richtlinien für AlloyDB

Die vordefinierten Organisationsrichtlinien, die für AlloyDB gelten, legen fest, ob AlloyDB vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) zum Verschlüsseln Ihrer Daten verwenden kann. Konfigurieren Sie AlloyDB für die Verwendung von CMEK, wenn Sie aufgrund behördlicher Auflagen mehr Kontrolle über die Schlüssel benötigen, die zum Verschlüsseln von inaktiven AlloyDB-Daten verwendet werden. Die Richtlinien umfassen Folgendes:

• Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können (constraints/gcp.restrictNonCmekServices)
• Einschränken, welche Projekte Cloud KMS-CryptoKeys für CMEK bereitstellen können (constraints/gcp.restrictCmekCryptoKeyProjects)

Weitere Informationen finden Sie unter Vordefinierte Organisationsrichtlinien verwenden.

Mit benutzerdefinierten Organisationsrichtlinien können Sie Einschränkungen für AlloyDB auf Projekt-, Ordner- oder Organisationsebene konfigurieren. Wenn Sie öffentliche IP-Adressen aktivieren, empfehlen wir, eine benutzerdefinierte Richtlinieneinschränkung zu konfigurieren, um festzulegen, wer die öffentliche IP-Adresse verwenden darf. Um Ihre Richtlinien zu optimieren, können Sie AlloyDB-Instanzfelder (z. B. „Öffentliche IP-Adresse aktivieren“ oder „Öffentliche IP-Adresse für ausgehende Verbindungen aktivieren“) in die Richtlinie einfügen. Weitere Informationen finden Sie unter Benutzerdefinierte Organisationsrichtlinien verwenden.

Netzwerksicherheit

Standardmäßig wendet Google standardmäßige Schutzmaßnahmen für die Übertragung von Daten für alleGoogle Cloud -Dienste an, einschließlich AlloyDB-Instanzen, die auf Google Cloudausgeführt werden. Weitere Informationen zu standardmäßigen Netzwerkschutzmaßnahmen finden Sie unter Verschlüsselung während der Übertragung.

AlloyDB unterstützt die TLS 1.3-Verschlüsselung für die Kommunikation zwischen der Datenbankinstanz und Clients. AlloyDB generiert automatisch das Serverzertifikat für diese Verbindung. Wenn Sie Clientzertifikate für die gegenseitige Authentifizierung verwenden möchten, müssen Sie einen AlloyDB-Sprach-Connector (der die mTLS-Authentifizierung verwendet) oder den AlloyDB-Auth-Proxy konfigurieren.

Falls von Ihrer Organisation gefordert, können Sie zusätzliche Sicherheitskontrollen konfigurieren, um den Traffic im Google Cloud Netzwerk und den Traffic zwischen dem Google Cloud Netzwerk und Ihrem Unternehmensnetzwerk weiter zu schützen. Beachten Sie dabei Folgendes:

• AlloyDB unterstützt VPC Service Controls. Mit VPC Service Controls können Sie die Übertragung von Daten in Google-Diensten steuern und eine kontextbasierte Perimetersicherheit einrichten. Weitere Informationen zum Einrichten von VPC Service Controls finden Sie unter VPC Service Controls konfigurieren.

  • Wenn Sie öffentliche IP-Adressen aktivieren, verwenden Sie AlloyDB Language Connectors und eine benutzerdefinierte Organisationsrichtlinie, um zu steuern, wer Zugriff auf AlloyDB-Instanzen hat.

• In Google Cloudist freigegebene VPC Ihre Netzwerktopologie. Eine freigegebene VPC bietet eine zentralisierte Verwaltung der Netzwerkkonfiguration bei gleichzeitiger Trennung der Umgebungen.

• Verwenden Sie Cloud VPN oder Cloud Interconnect, um die Sicherheit und Zuverlässigkeit der Verbindung zwischen Ihrem Unternehmensnetzwerk undGoogle Cloudzu maximieren. Weitere Informationen finden Sie unter Network Connectivity-Produkt auswählen.

Weitere Informationen zu Best Practices für die Netzwerksicherheit finden Sie unter Zero Trust implementieren und Netzwerkdesign für Ihre Google Cloud Landing-Zone festlegen.

Anwendungsverbindung

Sie können die Verbindung zwischen Anwendungen und AlloyDB mit den folgenden Methoden sichern:

• AlloyDB Auth-Proxy oder AlloyDB-Sprach-Connector, um einen sicheren TCP-Tunnel zur AlloyDB-Instanz zu konfigurieren.
• Datenbankauthentifizierung:
• Serverless VPC Access, um AlloyDB direkt mit Cloud Run zu verbinden.
• Private Service Connect oder privater Dienstzugriff verwenden, um über die private IP-Adresse von AlloyDB eine Verbindung zu einer Anwendung in einer anderen VPC auf Google Cloud herzustellen. Mit dieser Methode wird der Traffic in Google Cloudgehalten. Wenn Sie Private Service Connect verwenden möchten, müssen Sie Private Service Connect konfigurieren, wenn Sie den AlloyDB-Datenbankcluster erstellen.

Das folgende Diagramm zeigt die Verbindungsoptionen.

Weitere Informationen zu Optionen zum Einrichten von Verbindungen zu Diensten ohne externe IP-Adresse finden Sie unter Private Zugriffsoptionen für Dienste.

Datenbankauthentifizierung

AlloyDB bietet die folgenden Authentifizierungsmethoden für Datenbankclients:

• Integrierte Datenbankauthentifizierung mit einem Nutzernamen und einem Passwort. Die Autorisierung wird anhand von GRANT- oder REVOKE-Anweisungen bestimmt. Weitere Informationen finden Sie unter AlloyDB-Nutzerrollen verwalten.
• IAM-Authentifizierung mit IAM-Hauptkonten wie Nutzern und Dienstkonten. Mit den AlloyDB-Sprach-Connectors lässt sich der Prozess für die IAM-Authentifizierung automatisieren. Weitere Informationen finden Sie in der Übersicht über AlloyDB Language Connectors. Die IAM-Authentifizierung bietet folgende Vorteile:
  • Einheitliche Zugriffssteuerung: Mit IAM wird die Zugriffssteuerung für alle Google Cloud Ressourcen, einschließlich Datenbanken, zentralisiert. Die einheitliche Zugriffssteuerung bietet konsistente Richtlinien und eine einfachere Nutzer- und Rollenverwaltung.
  • Weniger Anmeldedaten verwalten: Nutzer benötigen keine separaten Datenbankpasswörter. Bei der IAM-Authentifizierung werden die vorhandenen Google-Kontoanmeldedaten verwendet.
  • Kurzlebige Tokens: Bei der IAM-Authentifizierung werden kurzlebige Zugriffstokens verwendet, wodurch das Risiko von geleakten Passwörtern oder kompromittierten Anmeldedaten verringert wird.

Connectors

Sie können den AlloyDB-Auth-Proxy oder einen AlloyDB-Sprach-Connector verwenden, um eine verschlüsselte Verbindung zum Datenbankclient zu konfigurieren. Der AlloyDB Auth-Proxy ist ein clientseitiger Proxy, der Nicht-TLS-Verbindungen transparent auf TLS 1.3-Verbindungen aktualisiert. Die Language Connectors sind Clientbibliotheken, die eine Verbindung zu einem Proxyserver im AlloyDB-Cluster herstellen. Beide Connectors verwenden IAM, um die Verbindung zu autorisieren, und schützen die Verbindung mit mTLS. Optional können Sie die passwortlose Authentifizierung anstelle der IAM-Authentifizierung konfigurieren.

Wenn Sie den Auth-Proxy verwenden, lesen Sie die Best Practices für die Verwendung des AlloyDB Auth-Proxy.

Datenschutz und Privatsphäre

In diesem Abschnitt wird beschrieben, wie AlloyDB Ihre Daten und die Privatsphäre dieser Daten schützt.

AlloyDB verschlüsselt Ihre Daten, die in Ihrem Cluster gespeichert sind (z. B. Instanzname, Instanzkonfiguration, Tabelleninhalte, Zeilennamen und benutzerdefinierte Funktionen), mit Standardverschlüsselung. Auf diese Daten kann nur über AlloyDB-Instanzen zugegriffen werden.

Sie können vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) aktivieren, um Ihre Clusterdaten im Ruhezustand zu verschlüsseln. Bei CMEK werden Schlüssel in Cloud KMS als softwaregeschützte oder hardwaregeschützte Schlüssel (mit Cloud HSM) gespeichert, aber von Ihnen verwaltet. Wenn Sie Verschlüsselungsschlüssel automatisch bereitstellen möchten, können Sie Cloud KMS Autokey aktivieren. Wenn Sie Autokey aktivieren, kann ein Entwickler einen Schlüssel von Cloud KMS anfordern und der Dienst-Agent stellt einen Schlüssel bereit, der der Absicht des Entwicklers entspricht. Mit Cloud KMS Autokey sind Schlüssel bei Bedarf verfügbar, konsistent und entsprechen den Branchenstandards.

Außerdem unterstützt AlloyDB Cloud External Key Manager (Cloud EKM), mit dem Sie Ihre Schlüssel in einem externen Schlüsselverwaltungssystem außerhalb von Google Cloudspeichern können. Wenn Sie Cloud EKM verwenden, wird mit Key Access Justifications Ihren Cloud EKM-Anfragen ein Feld hinzugefügt, in dem Sie den Grund für jede Anfrage sehen können. Mit ausgewählten Partnern für die externe Schlüsselverwaltung können Sie diese Anfragen basierend auf der Begründung automatisch genehmigen oder ablehnen.

Wo Daten verarbeitet werden

AlloyDB unterstützt die Datenresidenz für Daten, die in Ihrem Cluster gespeichert sind. Mit dem Datenstandort können Sie die Regionen auswählen, in denen Ihre Daten gespeichert werden sollen. Dazu verwenden Sie die Einschränkung für die Richtlinie zur Beschränkung des Ressourcenstandorts. Mit Cloud Asset Inventory können Sie den Standort von AlloyDB-Ressourcen überprüfen.

Wenn Sie einen Datenstandort für Daten in Verwendung benötigen, können Sie Assured Workloads konfigurieren. Weitere Informationen finden Sie unter Assured Workloads und Datenresidenz.

Datenschutz

Zum Schutz der Privatsphäre Ihrer Daten entspricht AlloyDB den Common Privacy Principles.

AlloyDB fungiert als Datenauftragsverarbeiter für Kundendaten. Google fungiert auch als Datenverantwortlicher für Informationen wie Abrechnung und Kontoverwaltung sowie Missbrauchserkennung. Weitere Informationen finden Sie in den Google Cloud Datenschutzhinweisen.

Audit-Logging

AlloyDB schreibt die folgenden Arten von Audit-Logs:

• Audit-Logs zur Administratoraktivität: Umfassen ADMIN WRITE-Vorgänge, bei denen Metadaten oder Konfigurationsinformationen geschrieben werden.
• Audit-Logs zum Datenzugriff: Umfassen ADMIN READ-Vorgänge, die Metadaten oder Konfigurationsinformationen lesen. Umfasst auch DATA READ- und DATA WRITE-Vorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben.
• Audit-Logs zu Systemereignissen: Identifiziert automatisierte Google Cloud Aktionen, die die Konfiguration von Ressourcen ändern.

Weitere Informationen finden Sie unter AlloyDB-Audit-Logging.

Um behördliche Anforderungen zu erfüllen, können Sie außerdem die pgAudit-Erweiterung verwenden, um einen Audit-Trail von Datenbankbefehlen zu aktivieren. Die pgAudit-Erweiterung protokolliert Details dazu, welche Befehle ausgeführt wurden, wann die Befehle ausgeführt wurden und wer die Befehle ausgeführt hat.

Access Transparency

Mit der Zugriffsgenehmigung und Access Transparency können Sie den Zugriff auf AlloyDB-Instanzen durch Google-Mitarbeiter, die den Dienst unterstützen, steuern. Dank der Zugriffsgenehmigung können Zugriffsanfragen von Google-Mitarbeitern bestätigt oder abgelehnt werden. Access Transparency-Logs bieten nahezu in Echtzeit Einblicke, wennGoogle Cloud -Administratoren auf die Ressourcen zugreifen.

Monitoring und Reaktion auf Vorfälle

Sie können verschiedene Tools verwenden, um die Leistung und Sicherheit von AlloyDB zu überwachen. Berücksichtige Folgendes:

• Mit dem Log-Explorer können Sie Ereignislogs ansehen und analysieren sowie benutzerdefinierte Messwerte und Benachrichtigungen erstellen.
• Verwenden Sie das AlloyDB-Systemstatistik-Dashboard oder das Cloud Monitoring-Dashboard, um die Leistung von AlloyDB-Instanzen zu überwachen. Weitere Informationen finden Sie unter Instanzen überwachen.
• Aktivieren Sie die Erweiterung pgAudit, um AlloyDB-Vorgänge (z. B. Befehle und Abfragen, die für eine AlloyDB-Instanz ausgeführt werden) zu prüfen. Diese Logs umfassen PostgreSQL-Datenbanklogs und Containerlogs für Datenebene-Agents.
• Konfigurieren Sie Security Command Center, um SQL-Sicherheitslücken und Bedrohungen für AlloyDB zu erkennen, z. B. Rechteausweitungen. Sie können Playbooks und Benachrichtigungen für die Analysten in Ihrem Security Operations Center (SOC) einrichten, damit sie auf Ergebnisse reagieren können.

Zertifizierungen und Compliance

Die Einhaltung Ihrer aufsichtsrechtlichen Anforderungen ist eine gemeinsame Verantwortung zwischen Ihnen und Google.

AlloyDB hat viele Zertifizierungen erhalten, darunter die folgenden:

• International Organization for Standardization (ISO) 27001, ISO 27017, ISO 27018, ISO 27701
• Service and Organization Controls (SOC) 1, SOC 2, SOC 3
• Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standards, PCI DSS)
• US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)

Weitere Informationen zur Compliance von Google Cloud mit verschiedenen rechtlichen Rahmenbedingungen und Zertifizierungen finden Sie im Center für Compliance-Ressourcen.

AlloyDB unterstützt auch Assured Workloads. Damit können Sie Kontrollen auf bestimmte Ordner in Ihrer Google-Organisation anwenden, um Anforderungen in Bezug auf gesetzliche Vorschriften, Region oder Datenhoheit zu unterstützen. Weitere Informationen finden Sie unter Unterstützte Produkte nach Kontrollpaket.

Nächste Schritte

• Resilienz mit Clustern konfigurieren
• Sicherungen aktivieren
• AlloyDB mit Terraform bereitstellen
• Mit Google Threat Intelligence können Sie externe Bedrohungen für Ihr Unternehmen im Blick behalten.