Richtlinienentwurf für Start-up-Kunden

In diesem Artikel erfahren Sie, wie Sie eine Reihe von Richtlinien entwerfen, die Ihrem Unternehmen, einem hypothetischen Unternehmenskunden mit dem Namen StartupExampleOrganization, die Verwendung von Google Cloud ermöglichen.

Start-up-Unternehmen beginnen ihren Geschäftsbetrieb mit minimaler Infrastruktur: Es gibt nur Netzwerkkonnektivität und Laptops, keine Investitionen in lokale Server. Start-up-Teams sind klein, autonom und effizient. Sie vertrauen darauf, Entscheidungen über die verwendeten Dienste und Tools selbst treffen zu können. Start-ups sind außerdem sehr sensibel, was das Risiko einer versehentlichen frühzeitigen Veröffentlichung ihrer IP-Adresse betrifft.

Für eine solche Umgebung werden Sie als Start-up-Administrator erst einmal nur lockere Regeln implementieren, die in erster Linie die Abrechnung und die Einhaltung von Sicherheitskontrollen betreffen.

Mithilfe der Richtlinien kann Ihr Unternehmen Google Cloud so nutzen, dass sie folgende Anforderungen erfüllt:

  • Mit Google Workspace können Sie Identitäten verwalten und Tools für die Produktivität im Büro bereitstellen.
  • Optimierung der Teamautonomie und -effizienz
  • Möglichkeit für Entwickler, ihre eigenen Tools zu wählen, eigene Ressourcen und Umgebungen zu erstellen, frei zu experimentieren usw.
  • Verwendung privater Repositories und Registrys.
  • Implementierung von "Leitplanken", die Sicherheit, Compliance etc. gewährleisten.
  • Benachrichtigung bei Überschreitung eines "weichen" Ausgabenlimits.
  • Einrichtung von Kontrollen auf hoher Ebene und Benachrichtigungen bei Verstößen gegen im Entstehen begriffene Sicherheitskontrollen trotz generellem Vertrauen.
  • Zugriff für Entwickler auf ein freigegebenes Set von Ressourcen
  • Möglichkeit des Wachstums der Google Cloud-Umgebung mit minimalen Problempunkten.

Governance und Sichtbarkeit

In den folgenden Abschnitten werden verschiedene Google Cloud-Ansätze erläutert, die es möglich machen, dass StartupExampleOrganization die Liste der Anforderungen erfüllt.

Identitätsverwaltung

Behandelte Anforderung von StartupExampleOrganization:

  • Mit Google Workspace können Sie Identitäten verwalten und Tools für die Produktivität im Büro bereitstellen.

Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie Zugriff auf Google Cloud-Ressourcen gewähren, indem Sie Mitgliedern Zugriffsberechtigungen erteilen. Es sind folgende Mitgliedertypen zulässig:

  • Google-Konto.
  • Dienstkonto.
  • Google-Gruppe
  • Google Workspace-Domain (wenn Sie ein Google Workspace-Konto haben, bedeutet dies, dass eine Google Workspace-Domain vorhanden ist. Weitere Informationen finden Sie in diesem Hilfethema.

Ein Google Workspace-Konto hat eine direkte Verbindung zur Google Cloud-Ressourcenhierarchie, wie im folgenden Diagramm dargestellt:

Ressourcenhierarchie

Für die Nutzung von Google Cloud benötigen Sie keine Organisationsressource. Es ist jedoch für jedes Unternehmen, unabhängig von seiner Größe, sinnvoll, seine Google Cloud-Ressourcen unter der Organisationsressource einzurichten. Als Organisationsadministrator haben Sie einen vollständigen Einblick in und die uneingeschränkte Kontrolle über die Assets Ihres Unternehmens.

Als StartupExampleOrganization-Administrator sind Sie bereits Google Workspace-Kunde. Die Voraussetzung für die Verwendung der Organisationsressource ist also bereits vorhanden. Sie können Google Workspace-Konten Berechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.

Organisatorische Einrichtung

Behandelte Anforderungen von StartupExampleOrganization:

  • Möglichkeit für Entwickler, ihre eigenen Tools zu verwenden, eigene Ressourcen und Umgebungen zu erstellen, frei zu experimentieren usw.
  • Zugriff für Entwickler auf ein freigegebenes Set von Ressourcen
  • Möglichkeit des Wachstums der Google Cloud-Umgebung mit minimalen Problempunkten.

Wenn eine Organisationsressource vorhanden ist, können Sie Ihre Organisation der Ressourcenhierarchie zuordnen. Als Teil dieser hierarchischen Organisation haben Sie die Möglichkeit, Cloudordner als Container für Projekte und andere Ordner zu verwenden. Cloudordner ermöglichen es Nutzern, Projekte unter Ordnern zu gruppieren, um umfassende Ressourcen und Richtlinien verwalten zu können. Diese Struktur ordnet den Teams die Anwendungen zu (die wiederum Projekten zugeordnet sind), mit denen sie als Gruppe arbeiten. Hier eine Übersicht:

Organisatorische Einrichtung

Mithilfe von Cloudordnern können Sie Richtlinien zur Zugriffsverwaltung auf Ordnerebene verwalten. Für alle Projekte in einem bestimmten Ordner gilt die Richtlinie dieses Ordners.

StartupExampleOrganization möchte, dass seine Entwickler Aufgaben schnell erledigen können. Das Unternehmen möchte auch, dass Sie ein Framework implementieren, das es ihm erlaubt, zu wachsen und dabei grundlegende Sicherheits- und Compliance-Anforderungen zu erfüllen, die der Geschäftsbetrieb erfordert, beispielsweise für den Schutz personenbezogener Daten. Die Verwendung der Organisationsressource garantiert eine zentrale Kontrolle, ermöglicht aber jedem Team, eigene Ordner und Projekte zu besitzen. Beispielsweise kann jedes Team eigenständig entscheiden, wie Anwendungen bereitgestellt werden und wie die Überwachung implementiert wird.

Damit Ressourcen für Projekte gemeinsam genutzt werden können, erstellen Sie ein Projekt für freigegebene Ressourcen, das gleichzeitig ein Dienstprojekt für ein Shared Virtual Private Cloud-(VPC-)Hostprojekt ist. Weitere Informationen finden Sie unter Netzwerkkonfiguration und Sicherheitsfunktionen.

Sie können das Ressourcenprojekt zum Hosten von Dienstkonten verwenden, die in automatisierten Vorgängen wie die kontinuierliche Integration (Integration Continuous, CI) und für Bereitstellungs-Pipelines (Deployment Pipelines, CD) verwendet werden. Zur gemeinsamen Nutzung freigegebene Assets, z. B. Konfigurationsskripts und freigegebene Datasets, können auch Teil dieses Projekts sein. Sie haben dabei die Möglichkeit, die Personen zu beschränken, die das Ressourcenprojekt verwalten können.

Sie können Leitplanken über Organisationsrichtlinien implementieren, in denen Sie Konfigurationsoptionen ausschließen, die nicht dem Unternehmensstandard entsprechen. Beispielsweise lässt sich so verhindern, dass externe IP-Adressen eine virtuelle Maschine (VM) verwenden, unabhängig davon, wer sie erstellt hat. Sie können eine Richtlinie auch auf Projektebene überschreiben. Durch das Implementieren von Dienstkonten, deren Berechtigungen auf der Organisationsebene der Hierarchie gewährt werden, können Sie Jobs aus einem dedizierten Projekt ausführen, um Risiken oder aggregierte Bestandswerte und Kennzahlen zu überwachen oder zu melden, wenn Probleme auftreten.

Systemvorgänge

Behandelte Anforderungen von StartupExampleOrganization:

  • Optimierung der Teamautonomie und -effizienz.
  • Möglichkeit für Entwickler, ihre eigenen Tools zu wählen, eigene Ressourcen und Umgebungen zu erstellen, frei zu experimentieren usw.
  • Verwendung privater Repositories und Registrys.
  • Zugriff für Entwickler auf ein freigegebenes Set von Ressourcen

Die Gründer von StartupExampleOrganization wissen, dass sie ihre IP-Adresse schützen müssen. Die Implementierung von privaten Repositories und Container Registrys kann dabei hilfreich sein. Google Cloud bietet vollständig gehostete private Git-Repositories, mit denen Sie den Zugriff über IAM einschränken können. Eine Container Registry ist eine private Registry, die Docker-Images in Cloud Storage speichert. Sie können die Container Registry verwenden und entsprechende Berechtigungen erteilen, um zu gewährleisten, dass nur Mitglieder Ihrer Organisation auf die Container zugreifen können.

Dienstkonten bieten eine Unterstützung für die Automatisierung von Vorgängen. Automatisierung ist immer ein wichtiges Ziel, speziell dann, wenn Agilität gefordert ist. Je mehr Vorgänge Sie automatisieren, desto mehr Ressourcen werden für die Anwendungsentwicklung frei.

Wenn Sie das Konzept von Infrastruktur als Code (IaC) zur Automatisierung von Cloudumgebungen anwenden, können Sie Ihre Projekte und die zugehörigen Kontrollen programmatisch und wiederholt einrichten. Darüber hinaus haben Sie damit die Möglichkeit, die Versionen der verwendeten Skripts und Vorlagen zu verwalten. Durch eine programmcodierte Konfiguration Ihrer Google Cloud-Umgebung nutzen Sie alle Vorteile der Versionsverwaltung.

Cloud Deployment Manager bietet die Möglichkeit, automatisch Projekte mit den entsprechenden Ressourcen und IAM-Richtlinien zu erstellen. Sie können die Vorlagen als Teil eines Selfservicesystems verwenden.

Wenn Ihre Organisation wächst, ermöglichen diese wiederholbaren Vorgänge einen schnellen Einstieg neuer Teams und eine schnelle Produktion.

Organisatorische Sicherheitsfunktionen

Behandelte Anforderung von StartupExampleOrganization:

  • Implementierung von Leitplanken, die Sicherheit, Compliance etc. gewährleisten.
  • Einrichtung von Kontrollen auf hoher Ebene und Benachrichtigungen bei Verstößen gegen im Entstehen begriffene Sicherheitskontrollen trotz generellem Vertrauen.

Der Organisationsrichtliniendienst ermöglicht eine zentrale, programmatische Kontrolle über die Cloudressourcen von StartupExampleOrganization. Der Dienst zeichnet sich durch einen einfachen Mechanismus zum Erzwingen zulässiger Konfigurationen innerhalb der gesamten Cloud-Ressourcenhierarchie aus. Mit Richtlinien sind in diesem Kontext Organisationsrichtlinien gemeint, mit denen Sie die Konfiguration von Cloud-Ressourcen auf der Organisationsebene steuern können.

Organisationsrichtlinien haben folgende Vorteile:

  • Sie zentralisieren die Kontrolle, um Einschränkungen für die Nutzung der Organisationsressourcen zu konfigurieren.
  • Richtlinien können für ein Projekt, einen Ordner oder eine Organisation festgelegt werden.
  • Richtlinien werden von den übergeordneten Elementen in der Ressourcenhierarchie übernommen, können aber vom Richtlinienadministrator auf jeder Ebene, auf der eine Organisationsrichtlinie festgelegt werden kann, überschrieben werden.
  • Verwaltet werden die Richtlinien nicht vom Ressourceninhaber, sondern vom Administrator für Organisationsrichtlinien. Dies hat zur Folge, dass einzelne Nutzer und Projektinhaber keine Organisationsrichtlinien überschreiben können.

Ressourcensteuerung

Sie können Organisationsrichtlinien implementieren, um die Verfügbarkeit bestimmter Ressourcen innerhalb einer Google Cloud-Vertrauensgrenze (Ordner, Projekt oder andere Organisationsebene) zu erzwingen.

  • Mit IAM lässt sich die Zugriffssteuerung verwalten. Dazu legen Sie fest, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat. Sie können Nutzern Rollen zuweisen und dafür IAM-Richtlinien erstellen. Eine Richtlinie ist eine Sammlung von Anweisungen, mit denen festgelegt wird, wer welche Art von Zugriff erhält. Sie müssen eine Richtlinie dann mit einer Ressource verknüpfen. Wenn auf diese Ressource zugegriffen wird, erzwingt die Richtlinie die Zugriffssteuerung.
  • Resource Manager ermöglicht das Zuweisen und Übernehmen von Zugriffssteuerungs- und Organisationsrichtlinien. Mit der Resource Manager API können Sie interaktiv auf Organisation, Ordner und Projekte zugreifen.
  • In jedem Fall müssen Sie sorgfältig überlegen, welche Zugriffssteuerungen eingerichtet werden sollen, wem Zugriff gewährt werden muss und wo die geringsten Rechte gelten sollen.

Richten Sie zu Beginn ein Framework ein, das eine stärkere Kontrolle bei fortgesetztem Wachstum ermöglicht. Richten Sie eingeschränkte Berechtigungen für das Projekt für freigegebene Ressourcen ein und begrenzen Sie den Zugriff auf die Organisationsadministratorrolle, die Netzwerkrolle und die Sicherheitsrolle.

Funktionale Rollen

Sie müssen die funktionalen Rollen von StartupExampleOrganization den entsprechenden IAM-Rollen zuordnen.

Durch die Verwendung von Gruppen zur Verwaltung der Nutzer können Sie ändern, wer eine bestimmte Funktion ausführen kann. Anstatt die Richtlinie zu aktualisieren, haben Sie dann die Möglichkeit, die Gruppenmitgliedschaft zu bearbeiten. Sie können die Gruppen mit den Begriffen von StartupExampleOrganization benennen, sodass die Namen die funktionalen Rollen wiedergeben. Wenn die Organisation wächst, lassen sich Mitglieder aus dieser Gruppe entfernen, wenn Sie ein dediziertes Team von Netzwerk- und Sicherheitsadministratoren aufstellen.

Das folgende Beispiel einer IAM-Richtlinie unterstützt StartupExampleOrganization bei der Erfüllung der Anforderungen:

Beschreibung der IAM-Richtlinie Funktionsweise
Die Ressource, auf die die Richtlinie angewendet werden soll: Organisation

Zu gewährende Rollen: Netzwerkadministrator, Shared VPC-Administrator, Sicherheitsadministrator

Eingebundene Mitglieder: Sicherheits- und Netzwerkadministratorteam
Ein zentrales Team verwaltet sowohl die Netzwerk- als auch die Sicherheitskontrolle. Alle Projekte nutzen ein einziges VPC-Netzwerk gemeinsam.

Die Rolle Netzwerkadministrator ermöglicht in Verbindung mit der Rolle Shared VPC-Administrator die zentrale Verwaltung von Netzwerkressourcen.

Die Rolle Sicherheitsadministrator bietet Berechtigungen zur Verwaltung von Firewallregeln und SSL-Zertifikaten.

Namenskonventionen und Kennzeichnung mit Labels

Behandelte Anforderungen von OurStartupOrg:

  • Die übergreifende Belastung wird über die Teams und die von ihnen entwickelten Produkte verteilt.
  • Die Aktivität im Google Cloud-Konto von OurStartupOrg wird überwacht.

Labels sind Schlüssel/Wert-Paare, die von verschiedenen Google Cloud-Ressourcen unterstützt werden. OurStartupOrg kann Labels verwenden, um Ausgaben für exportierte Abrechnungsdaten zwischen Teams und die von ihnen entwickelten Produkte zu verfolgen. Mithilfe von Labels zum Filtern und Gruppieren kann OurStartupOrg dann Cloud Monitoring-Ressourcengruppen verwenden, um die Aktivität pro Team oder pro Anwendung zu überwachen.

Tracking und Ausgabenübersicht

Behandelte Anforderungen von StartupExampleOrganization:

  • Benachrichtigung bei Überschreitung eines "weichen" Ausgabenlimits.

Zur Erfüllung der Anforderungen von StartupExampleOrganization reicht ein einzelnes Rechnungskonto in Verbindung mit Resource Manager und Abrechnungsfeatures aus. Die Abrechnungsfunktionen umfassen Folgendes:

  • Projekte zur Organisation von Ressourcen. Die Kosten werden pro Projekt angezeigt. Die Projekt-IDs sind im Abrechnungsexport enthalten.
  • Annotation von Projekten mit Labels, die zusätzliche Gruppierungsinformationen darstellen– z. B. environment=test. Labels sind im Abrechnungsexport enthalten, damit Sie die Kosten detaillierter aufschlüsseln können. Auch wenn sich Labels mitunter ändern, können sie dennoch nützlich sein.
  • Codierung einer Kostenstelle in Project Name oder ID, um die Rückverfolgung der Kosten auf die Kostenstelle zu erleichtern.
  • Cloud-Abrechnungsberichte für einen schnellen Überblick über die Nutzungskosten und für Trendanalysen.
  • Export von Abrechnungsdaten direkt nach BigQuery, um detaillierte Analysen durchführen zu können.

Das folgende Diagramm zeigt ein einzelnes Rechnungskonto, das in Verbindung mit Resource Manager implementiert wurde.

Rechnungsstruktur

Bei StartupExampleOrganization ist eine einzelne Person für die Bezahlung von Rechnungen verantwortlich. Wenn diese Richtlinie in Kraft ist, können Ihre Entwickler das Rechnungskonto verwenden, aber keine zusätzlichen Rechnungskonten einrichten. IAM-Abrechnungsrollen geben Entwicklern die Möglichkeit, die entsprechenden Berechtigungen für ein solches Szenario zu gewähren.

Abrechnungsexporte bieten eine Möglichkeit zur Kostenanalyse. Sie haben aber für StartupExampleOrganization erst einmal keine hohe Priorität. Für ein zukünftiges Wachstum ist jedoch möglicherweise eine Analyse der Kosten erforderlich. Die Implementierung einiger grundlegender Konfigurationsregeln an dieser Stelle vereinfacht die spätere Implementierung.

Um Benachrichtigungen zu Abrechnungsmesswerten zu senden, können Sie Budgets und Benachrichtigungen im Rechnungskonto oder für einzelne Projekte festlegen. Sie haben auch die Möglichkeit, für Budgets einen festen Betrag anzugeben oder diese an den Ausgaben des vorherigen Monats auszurichten. Sie können außerdem mit Benachrichtigungen Abrechnungsadministratoren informieren, wenn die Ausgaben einen bestimmten Prozentsatz Ihres Budgets übersteigen. Für Start-up-Kunden sind Budgets weicher Natur, sodass eine Überschreitung des Budgets die Nutzung nicht beeinträchtigt.

Sie können jedem Projekt ein eigenes Budget zuweisen. Dieses projektweise Budget gibt Ihnen die Flexibilität, einigen Projekten bei Bedarf mehr Mittel zuzuweisen und Benachrichtigungen für jedes Projekt festzulegen. Beispielsweise benötigt ein Projekt, das BigQuery verwendet, eventuell ein höheres Budget als Projekte, die nur Instanzen verwenden.

Vorschlag für Organisations- und Identitätsverwaltungsrichtlinien

Das folgende Diagramm zeigt die vorgeschlagenen Organisationsrichtlinien für StartupExampleOrganization:

Organisationsrichtlinie

Im obigen Diagramm gibt es sechs Schlüsselmerkmale:

  1. Organisationsrichtlinie zum Festlegen von "Leitplanken".

  2. Dienstkonten, die eine organisationsweite Erfassung und ein organisationsweites Monitoring ausführen.

  3. Ordner für Abteilungen mit Ressourcen.

  4. Projekte für Teams, Anwendungen, Umgebungen und Testfälle.

  5. Verwendung von IAM für die Identitätsverwaltung.

  6. Freigegebene Infrastrukturressourcen, die von zentralen Administratorteams verwaltet und an andere Abteilungen mit minimalen Berechtigungen freigegeben werden.

Netzwerkkonfiguration und Sicherheitsfunktionen

Behandelte Anforderungen von StartupExampleOrganization:

  • Zugriff für Entwickler auf ein freigegebenes Set von Ressourcen

  • Möglichkeit des Wachstums der Google Cloud-Umgebung mit minimalen Problempunkten.

StartupExampleOrganization hat noch kein ständiges Büro. Wenn das Unternehmen dann einen Bürostandort findet und seine Arbeitslasten eine geringere Latenz benötigen, als bei einem Routing über das Internet möglich ist, kann es mit Cloud Interconnect eine Verbindung mit Google Cloud herstellen.

Shared VPC

Mithilfe einer freigegebenen VPC können Sie gemeinsam genutzte Netzwerkressourcen wie VPC-Netzwerke und Subnetze von einem zentralen Hostprojekt aus verwalten. Auch andere Projekte können dann auf diese Ressourcen zugreifen. Diese Einrichtung und seine IAM-Steuerelemente erleichtern die Verwaltung des zentralen Netzwerks.

Shared VPC bietet Ihnen die Möglichkeit, ein VPC-Netzwerk wie etwa einen gemeinsamen privaten IP-Adressbereich gemäß RFC 1918 zu verwenden, der mehrere Projekte abdeckt. Sie können diesem VPC-Netzwerk oder dessen Subnetzen Instanzen eines beliebigen Projekts hinzufügen.

Mit der Implementierung einer freigegebenen VPC können Sie das VPC-Netzwerk zentral verwalten und die Nutzung durch Einrichtung eines VPN von den StartupExampleOrganization-Niederlassungen zum Host der freigegebenen VPC gleichzeitig einfach gestalten. Das VPN bietet einen einfachen Zugriff auf Dienstprojekte auf dem Host der freigegebenen VPC.

Durch Einrichtung eines flexiblen Frameworks bereits zu Beginn kann StartupExampleOrganization Netzwerkressourcen freigeben und das zentrale Netzwerk entsprechend verwalten, wenn das Unternehmen wächst.

IAM-Netzwerkrollen

Funktionsweise Beschreibung der erforderlichen IAM-Richtlinien
Eine begrenzte Anzahl von Benutzern verwaltet sowohl Netzwerk- als auch Sicherheitsfunktionen. Alle Projekte nutzen gemeinsam ein einzelnes VPC-Netzwerk.
  • Richten Sie gemäß Best Practices eine Gruppe mit den Identitäten der Nutzer ein, die für die zentrale Verwaltung des Netzwerks und der Sicherheitsfunktionen zuständig sind. Verwenden Sie diese Gruppe in den IAM-Richtlinien, die für die Erfüllung dieser Anforderung erforderlich sind.
  • Mithilfe von Shared VPC können Sie zentrale Teams der Verwaltung der Netzwerkkonfiguration zuordnen.
  • Weisen Sie der Gruppe auf der Organisationsebene der Cloudressourcenhierarchie die Rolle Netzwerkadministrator zusammen mit Shared VPC Admin (XPNAdmin) zu. Durch zusätzliche Zuweisung der Rolle Sicherheitsadministrator auf der Organisationsebene an diese Administratorengruppe gewähren Sie den Mitgliedern die für die Verwaltung von Firewallregeln und SSL-Zertifikaten erforderlichen Berechtigungen.

Das folgende Diagramm stellt ein Netzwerkmodell dar, das die Anforderungen von StartupExampleOrganization erfüllt.

Netzwerkmodell, das Entwicklern Zugriff auf ein freigegebenes Set von Ressourcen gewährt.

Im obigen Diagramm gibt es zwei Schlüsselmerkmale:

  1. Zentrale Administratoren und Dienstkonten, die alle vorlagenbasierten Ressourcenänderungen vornehmen.

  2. Freigegebene Ressourcen in einem separaten Subnetz.

Firewallregeln

Firewallregeln dienen zur Verwaltung des Traffics zwischen Quell- und Zielsubnetzen und/oder Instanzen, die mit einem Tag gekennzeichnet sind oder bestimmte Dienstkonten verwenden. Diese Regeln stellen die erforderlichen Kontrollen bereit, um zu gewährleisten, dass zwischen den Entwicklungs-, Test- und Produktionsumgebungen genügend Schranken vorhanden sind.

Verweise

Anforderung Verweise
Identitätsverwaltung
Organisatorische Einrichtung
Systemvorgänge
Abrechnung
Netzwerk- und Sicherheitsfunktionen

Nächste Schritte