Sicherheit, Datenschutz und Compliance

In diesem Abschnitt des Architektur-Frameworks wird beschrieben, wie Sie Ihre Sicherheitskontrollen planen, Datenschutz gewährleisten und mit den Google Cloud-Compliance-Levels arbeiten.

Das Framework besteht aus folgenden Dokumentreihen:

Strategien

Mithilfe dieser Strategien erreichen Sie Sicherheit, Datenschutz und Compliance.

Prinzip der geringsten Berechtigung mit Identitäts- und Autorisierungskontrollen implementieren Verwenden Sie die zentralisierte Identitätsverwaltung, um das Prinzip der geringsten Berechtigung zu implementieren und geeignete Autorisierungsstufen und Zugriffsrichtlinien festzulegen.

Einen mehrstufigen Sicherheitsansatz entwickeln Implementieren Sie die Sicherheit auf jeder Ebene Ihrer Anwendung und Infrastruktur, indem Sie ein Konzept mit gestaffelten Sicherheitsebenen anwenden. Verwenden Sie die Funktionen in den einzelnen Produkten, um den Zugriff einzuschränken. Verwenden Sie Verschlüsselung.

Bereitstellung sensibler Aufgaben automatisieren Entfernen Sie Personen aus dem Workstream, indem Sie Bereitstellungs- und andere Administratoraufgaben automatisieren.

Sicherheitsüberwachung implementieren Verwenden Sie automatisierte Tools, um Ihre Anwendung und Infrastruktur zu überwachen. Verwenden Sie das automatische Scannen in Ihren CI/CD-Pipelines (Continuous Integration und Continuous Deployment), um Ihre Infrastruktur auf Sicherheitslücken zu scannen und Sicherheitsvorfälle zu erkennen.

Best Practices

Mit den folgenden Best Practices können Sie die Sicherheit, den Datenschutz und die Compliance gewährleisten.

  • Risiko mit Steuerelementen verwalten
  • Authentifizierung und Autorisierung verwalten
  • Computing-Sicherheitskontrollen implementieren
  • Netzwerk sichern
  • Datensicherheitskontrollen implementieren
  • Anwendungen mit Steuerelementen für die Anwendungslieferkette erstellen
  • Infrastruktur mit Audit-Logs prüfen

Risiko mit Steuerelementen verwalten

Bevor Sie Ressourcen in Google Cloud erstellen und bereitstellen, sollten Sie sich überlegen, welche Sicherheitsfunktionen Sie benötigen, um Ihre internen Sicherheitsanforderungen und externen rechtlichen Anforderungen zu erfüllen.

Bei drei Kontrollbereichen steht die Risikominderung im Mittelpunkt:

  • Technische Steuerelemente beziehen sich auf die Funktionen und Technologien, mit denen Sie Ihre Umgebung schützen. Dazu gehören native Cloud-Sicherheitskontrollen wie Firewalls und das Aktivieren von Logging sowie Drittanbietertools und Anbieter, die Ihre Sicherheitsstrategie stärken oder unterstützen.
  • Vertragliche Schutzmaßnahmen beziehen sich auf die rechtlichen Verpflichtungen des Cloud-Anbieters in Bezug auf Google Cloud-Dienste.
  • Überprüfungen oder Bescheinigungen von Drittanbietern beziehen sich darauf, dass ein Drittanbieter den Cloud-Anbieter prüft, um sicherzustellen, dass der Anbieter die Compliance-Anforderungen erfüllt. Google wurde beispielsweise von einem Drittanbieter auf die Einhaltung der ISO 27017 geprüft.

Sie müssen alle drei Kontrollbereiche bewerten, um das Risiko bei der Einführung neuer öffentlicher Cloud-Dienste zu minimieren.

Technische Steuerelemente

Wir gehen von der grundlegenden Überlegung aus, dass Google Cloud-Kunden Inhaber ihrer Daten sind und kontrollieren, wie sie verwendet werden. Die Daten, die ein Kunde in Google Cloud-Systemen speichert und verwaltet, werden ausschließlich dafür verwendet, um diesem Kunden Google Cloud-Dienste zur Verfügung zu stellen und diese Dienste für ihn zu verbessern. Wir haben effektive interne Kontrollmechanismen und Prüfungen, um den Zugriff auf Kundendaten vor Insidern zu schützen. Dies umfasst auch die Bereitstellung von echtzeitnahen Logs über den Google-Administratorzugriff in Google Cloud.

Vertragliche Kontrollen

Google Cloud setzt sich für die Erhaltung und Erweiterung des Compliance-Portfolios ein. Im Dokument Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen ist festgelegt, dass wir unsere Zertifizierungen nach ISO 27001, 27017, 27018 beibehalten und unsere Berichte zu SOC 2 und SOC 3 alle zwölf Monate aktualisieren.

Außerdem werden darin die Zugriffssteuerungen beschrieben, mit denen der Zugriff der Google-Supporttechniker auf die Umgebungen der Kunden beschränkt wird. Dazu gehört auch das strenge Protokollierungs- und Genehmigungsverfahren. In diesem Dokument erhalten Sie weitere Informationen zu den Themen Zugriffssteuerungen und vertraglichen Verpflichtungen.

Bestätigung durch Drittanbieter

Kunden können die aktuellen Zertifizierungen und Bescheinigungen von Google Cloud im Compliance Resource Center einsehen.

Ressourcen

Vertrauen und Sicherheit

Authentifizierung und Autorisierung verwalten

Innerhalb von Google Cloud verwenden Kunden die Identitäts- und Zugriffsverwaltung (IAM), um den Zugriff auf Ressourcen zu bestimmen. Administratoren können den Zugriff bis auf Ressourcenebene beschränken. IAM-Richtlinien schreiben vor, wer was mit welchen Ressourcen tun darf. Korrekt konfigurierte IAM-Richtlinien tragen zum Schutz Ihrer Umgebung bei, indem sie unerwünschten Zugriff auf Ressourcen verhindern.

Sicherheitsadministratoren möchten gewährleisten, dass die richtigen Personen nur auf die Ressourcen und Dienste zugreifen können, die sie für ihre Arbeit benötigen (Prinzip der geringsten Berechtigung).

Nutzer sollten nicht mehr und nicht weniger als die Administratorberechtigungen haben, die sie zum Ausführen ihrer Aufgabe benötigen. Eine übermäßige Zuweisung von Berechtigungen kann das Risiko von Insider-Bedrohungen, falsch konfigurierten Ressourcen und schwierigen Prüfpfaden erhöhen. Zu wenige Berechtigungen können verhindern, dass Nutzer auf die Ressourcen zugreifen können, die sie für ihre Aufgabe benötigen.

Viele technische Steuerelemente unterstützen Sie bei der Gestaltung Ihrer Richtlinien zur Zugriffsverwaltung. Es folgen die wichtigsten Funktionen und Dienste, mit denen Sie den Zugriff steuern können:

Angemessene Rollen gewähren

Eine Rolle ist eine Sammlung von Berechtigungen, die auf einen Nutzer angewendet werden. Berechtigungen bestimmen, welche Aktionen für eine Ressource zulässig sind und entsprechen in der Regel den REST-Methoden. Beispielsweise kann einem Nutzer oder einer Nutzergruppe die Rolle "Compute-Administrator" zugewiesen werden, mit der er Compute Engine-Instanzen aufrufen und bearbeiten kann.

Dienstkonten richtig verwenden

Ein Dienstkonto ist ein spezielles Google-Konto, das zu Ihrer Anwendung oder einer virtuellen Maschine (VM) und nicht zu einem bestimmten Endnutzer gehört. Ihre Anwendung ruft mithilfe des Dienstkontos die Google API eines Dienstes auf, sodass die Nutzer nicht direkt beteiligt sind.

Organisationsrichtliniendienst verwenden

IAM konzentriert sich auf Identitäten. Der Administrator kann anhand von Berechtigungen Personen für die Ausführung von Aktionen für bestimmte Ressourcen autorisieren. Bei einer Organisationsrichtlinie liegt der Schwerpunkt auf Ressourcen und der Administrator kann Einschränkungen für bestimmte Ressourcen festlegen, um zu bestimmen, wie sie konfiguriert werden können.

Cloud Asset Inventory verwenden

Dieser Dienst bietet einen organisationsweiten Snapshot Ihres Inventars für eine Vielzahl von Google Cloud-Ressourcen und -Richtlinien mit einem einzigen API-Aufruf. Automatisierungstools können den Snapshot dann zur Überwachung oder Durchsetzung von Richtlinien verwenden oder für die Compliance-Prüfung archivieren. Wenn Sie Änderungen an den Assets analysieren möchten, unterstützt das Asset-Inventar auch den Export des Metadatenverlaufs.

Policy Intelligence verwenden

Die Recommender-, Fehlerbehebungs- und Validierungstools geben hilfreiche Empfehlungen für die Zuweisung von IAM-Rollen, Überwachung und Verhinderung übermäßiger IAM-Richtlinien und helfen bei der Behebung von Problemen im Zusammenhang mit der Zugriffssteuerung.

Fragen zum Design

  • Wie verwalten Sie Ihre Identität?
  • Können Identitäten mit Google Cloud kombiniert werden?
  • Welche Zugriffsberechtigungen sind für Ihre Nutzertypen erforderlich? Welcher programmatische Zugriff ist erforderlich?
  • Haben Sie einen Prozess, um Nutzern Zugriffssteuerungsrollen und -berechtigungen abhängig von verschiedenen Bereitstellungsumgebungen (Test, Entwicklung, Produktion usw.) zu gewähren und zu prüfen?

Empfehlungen

Geringste Berechtigung

  • Vermeiden Sie einfache Rollen wie roles/owner, roles/editor und roles/viewer Weisen Sie stattdessen nach Möglichkeit vordefinierte oder benutzerdefinierte Rollen zu.
  • Weisen Sie in den folgenden Fällen einfache Rollen zu:

    • Wenn der Google Cloud-Dienst keine vordefinierte Rolle bereitstellt.
    • Wenn Sie umfassendere Berechtigungen für ein Projekt gewähren möchten. Dies ist oft der Fall, wenn Sie Berechtigungen in Entwicklungs- oder Testumgebungen gewähren.
    • Wenn Sie in einem kleinen Team arbeiten, in dem für die Teammitglieder keine umfassenden Berechtigungen erforderlich sind.
  • Betrachten Sie jede Komponente Ihrer Anwendung als separate Vertrauensgrenze. Wenn Sie mehrere Dienste haben, für die unterschiedliche Berechtigungen erforderlich sind, erstellen Sie ein separates Dienstkonto für jeden Dienst und gewähren Sie dann jedem Dienstkonto nur die erforderlichen Berechtigungen.

  • Schränken Sie ein, wer als Dienstkonto fungieren kann. Nutzer, denen die Rolle "Dienstkontonutzer" für ein Dienstkonto zugewiesen ist, können auf alle Ressourcen zugreifen, auf die das Konto Zugriff hat. Gehen Sie vorsichtig vor, wenn Sie einem Nutzer die Rolle "Dienstkontonutzer" zuweisen.

  • Prüfen Sie die Richtlinien, die den einzelnen Ressourcen zugewiesen sind, und achten Sie darauf, dass Sie die Hierarchie der Übernahme verstanden haben. Eine Richtlinie, die für eine untergeordnete Ressource festgelegt ist, schränkt den Zugriff auf ihre übergeordnete Ressourcen nicht ein.

  • Weisen Sie Rollen im kleinstmöglichen Bereich zu. Wenn ein Nutzer beispielsweise nur Zugriff zum Veröffentlichen eines Pub/Sub-Themas benötigt, weisen Sie ihm die Publisher-Rolle für dieses Thema zu.

  • Die Zuweisung der Inhaberrolle zu einem Mitglied ermöglicht es ihm, auf fast alle Ressourcen zuzugreifen und sie zu ändern, einschließlich der Änderung von IAM-Richtlinien. Dieses Ausmaß an Privilegien ist potenziell riskant. Weisen Sie die Inhaberrolle nur dann zu, wenn ein (fast) vollständiger Zugriff erforderlich ist.

  • Wenn eine Organisation erstellt wird, erhalten alle Nutzer in Ihrer Domain standardmäßig die Rollen "Rechnungskontoersteller" und "Projektersteller". Ermitteln Sie Nutzer, die diese Aufgaben ausführen können, und widerrufen Sie diese Rollen für andere Nutzer.

  • Weisen Sie Rollen einer Google-Gruppe statt einzelnen Nutzern zu. Es ist einfacher, Mitglieder zu einer Google Groups-Gruppe hinzufügen oder aus ihr entfernen, als eine IAM-Richtlinie zu aktualisieren, um Nutzer hinzuzufügen oder zu entfernen.

  • Wenn Sie mehrere Rollen zuweisen müssen, um eine bestimmte Aufgabe zu ermöglichen, erstellen Sie eine Google-Gruppe, weisen dieser Gruppe die Rollen zu und fügen ihr anschließend Nutzer hinzu.

  • Erfassen Sie alle Ressourcen in Ihrer Organisation, die Cloud Asset Inventory verwenden.

  • Automatisieren Sie Richtlinienkontrollen. Mit Policy Intelligence können Sie diese validieren oder Fehler beheben.

  • IAM Conditions ermöglichen eine bedingte, attributbasierte Steuerung für den Zugriff auf Ressourcen.

  • Implementieren Sie mit VPC Service Controls gestaffelte Sicherheitsebenen, um den Zugriff auf Ressourcen weiter einzuschränken.

Audit

  • Verwenden Sie Cloud-Audit-Logs, um Änderungen an Ihren IAM-Richtlinien regelmäßig zu prüfen.
  • Exportieren Sie Audit-Logs in den Cloud-Speicher, um Ihre Logs über einen längeren Zeitraum zu speichern.
  • Prüfen Sie, wer die Möglichkeit hat, Ihre IAM-Richtlinien in Ihren Projekten zu ändern.
  • Schränken Sie den Zugriff auf Logs mit Logging-Rollen ein.
  • Wenden Sie auf die Google Cloud-Ressource dieselben Zugriffsrichtlinien an, die Sie auch zum Exportieren von Logs aus der Loganzeige verwenden.
  • Prüfen Sie mit Cloud-Audit-Logs regelmäßig den Zugriff auf Dienstkontoschlüssel.

Wichtige Dienste

Mit IAM wird bestimmt, wer auf bestimmte Google Cloud-Ressourcen zugreifen und Aktionen ausführen kann. Außerdem haben Sie vollständige Kontrolle und Transparenz, um Google Cloud-Ressourcen zentral zu verwalten.

Kontextsensitiver Zugriff für detaillierte Zugriffssteuerungen auf Ihre Google Cloud-Arbeitslasten und Webanwendungen auf der Grundlage der Nutzeridentität und des Kontexts der Anfrage. Google empfiehlt ein Zero-Trust-Sicherheitsmodell in Ihrer Organisation.

Cloud Asset Inventory bietet Inventardienste auf Basis einer Zeitachsen-Datenbank. In dieser Datenbank werden die Google Cloud-Asset-Metadaten der letzten fünf Wochen gespeichert. Mit dem Dienst können Sie alle Asset-Metadaten zu einem bestimmten Zeitstempel oder den Änderungsverlauf von Ereignissen während eines bestimmten Zeitraums exportieren.

Cloud-Audit-Logs beantworten die Fragen "Wer hat was, wo und wann getan?" in Ihren Google Cloud-Ressourcen.

Ressourcen

Computing-Sicherheitskontrollen implementieren

Es hat sich bewährt, abzusichern, wie Ressourcen für das Netzwerk freigegeben werden. Dies sind die Steuerelemente, die in Google Kubernetes Engine (GKE) und Compute Engine verfügbar sind.

Private IPs

Sie können den externen IP-Zugriff auf Ihre Produktions-VMs mithilfe von Organisationsrichtlinien deaktivieren. Sie können in GKE private Cluster mit privaten IP-Adressen bereitstellen, um mögliche Netzwerkangriffe zu begrenzen. Sie können auch Netzwerkrichtlinien definieren, um die Pod-zu-Pod-Kommunikation im Cluster zu verwalten.

Compute-Instanznutzung

Es ist auch wichtig zu wissen, wer Instanzen und Zugriffssteuerung mit IAM einrichten kann, da bei einer Unterbrechung erhebliche Kosten anfallen können. Mit Google Cloud können Sie benutzerdefinierte Kontingente für Projekte definieren, um solche Aktivitäten zu begrenzen. VPC Service Controls kann dabei Abhilfe schaffen. Weitere Informationen finden Sie im Abschnitt zur Netzwerksicherheit.

Compute Betriebssystem-Images

Google stellt Ihnen ausgewählte Betriebssystem-Images bereit, die regelmäßig gepflegt und gepatcht werden. Sie können zwar Ihre eigenen benutzerdefinierten Images verwenden und sie in Compute Engine ausführen, aber sie müssen trotzdem gepatcht, aktualisiert und gepflegt werden. Google Cloud aktualisiert regelmäßig neue Sicherheitslücken, die über Sicherheitsbulletins gefunden wurden, und bietet Lösungen zur Behebung von Sicherheitslücken bei bestehenden Bereitstellungen.

GKE und Docker

Die App Engine führt Anwendungsinstanzen flexibel in Docker-Containern aus, sodass Sie beliebige Laufzeiten ausführen können. Sie können auch den SSH-Zugriff auf die zugrunde liegenden Instanzen aktivieren. Dies wird nur empfohlen, wenn Sie einen gültigen geschäftlichen Anwendungsfall haben.

Cloud-Audit-Logs sind für GKE aktiviert, sodass Sie alle Aktivitäten mit Ihrem Cluster automatisch erfassen und auf verdächtige Aktivitäten überwachen können.

Zur Gewährleistung der Infrastruktursicherheit für Ihren Cluster bietet GKE die Möglichkeit, IAM mit rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) zu verwenden, um den Zugriff auf Ihren Cluster und Ihre Namespaces zu verwalten.

Wir empfehlen, die automatische Knotenaktualisierung zu aktivieren, damit Google Ihre Clusterknoten mit dem neuesten Patch aktualisiert. Google verwaltet GKE-Master, die regelmäßig automatisch aktualisiert und gepatcht werden. Verwenden Sie außerdem von Google ausgewählte containeroptimierte Images für Ihre Bereitstellung. Diese werden auch regelmäßig von Google gepatcht und aktualisiert.

GKE Sandbox eignet sich gut für die Bereitstellung mehrmandantenfähiger Anwendungen, die eine zusätzliche Sicherheitsebene und Isolation vom Host-Kernel erfordern.

Laufzeitsicherheit

GKE lässt sich in verschiedene Partnerlösungen für die Laufzeitsicherheit integrieren, um Ihnen robuste Lösungen zur Überwachung und Verwaltung Ihrer Bereitstellung zu ermöglichen. All diese Lösungen können für die Integration in das Security Command Center entwickelt werden, sodass Sie einen zentralen Überblick erhalten.

Partnerlösungen für den Hostschutz

Sie können nicht nur ausgewählte, gehärtete Betriebssystem-Images, die von Google bereitgestellt werden, verwenden, sondern auch verschiedene Google Cloud-Partnerlösungen für den Hostschutz nutzen. Die meisten Partnerlösungen, die in Google Cloud angeboten werden, lassen sich in das Security Command Center integrieren. Von dort können Sie zum Partner-Portal für eine erweiterte Bedrohungsanalyse oder zusätzliche Laufzeitsicherheit wechseln. Forseti ist eine weitere Sicherheitslösung, die in das Security Command Center integriert werden kann und Sie bei der Überwachung und Benachrichtigung Ihrer Bereitstellung bei Konfigurationsfehlern unterstützt.

Fragen zum Design

  • Wie verwalten Sie die Sicherheit Ihrer Computing-Knoten?
  • Benötigen Sie hostbasierten Schutz?
  • Nutzen Sie ausgewählte, gehärtete Images?
  • Wie bestimmen Sie, wer Rechenknoten in Ihrer Produktionsumgebung erstellen oder löschen kann?
  • Wie oft prüfen Sie das Erstellen und Löschen von Computing?
  • Führen Sie Sicherheitstests für Ihre Bereitstellungen in einer Sandbox-Umgebung durch? Wie häufig werden diese ausgeführt und überwacht? Wie häufig aktualisieren Sie die Kompatibilität mit der aktuellen Version der Bereitstellungsknoten?

Empfehlungen

  • Die VM-Kommunikation nach Möglichkeit mithilfe von Dienstkonten isolieren.
  • Externe IP-Adressen auf Organisationsebene deaktivieren, sofern dies nicht explizit erforderlich ist.
  • Von Google gepflegte Images verwenden.
  • Sicherheitsbulletins auf neue Sicherheitslücken verfolgen und Probleme Ihrer Instanzen beheben.
  • Eine private Master-Bereitstellung in GKE verwenden.
  • Workload Identity verwenden, um über Ihre GKE-Cluster auf den Cloud API-Zugriff zuzugreifen.
  • Automatisches Upgrade für GKE-Knoten aktivieren.

Wichtige Dienste

Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Durch die Verwendung von Shielded VMs können Arbeitslasten von Großunternehmen gegen Bedrohungen wie Remote-Angriffe, Rechteausweitung und böswillige Insider geschützt werden. Shielded VMs verwenden erweiterte Plattformsicherheitsfunktionen Secure Boot und Measured Boot, ein vTPM (Virtual Trusted Platform Module), UEFI-Firmware und Integritätsmonitoring.

Mit Workload Identity können Sie den potenziellen "Blast-Radius" einer Sicherheitslücke oder eines Kompromisses und den Verwaltungsaufwand reduzieren und gleichzeitig das Prinzip der geringsten Berechtigung in Ihrer GKE-Umgebung erzwingen.

GKE Sandbox ist eine Containerisolierungslösung, die eine zweite Sicherheitsebene zwischen containerisierten Arbeitslasten in GKE bietet. GKE Sandbox wurde für Anwendungen mit geringer E/A-Aktivität und hoher Skalierung entwickelt. Diese containerisierten Arbeitslasten müssen ihre Geschwindigkeit und Leistung beibehalten, können jedoch auch nicht vertrauenswürdigen Code enthalten, der zusätzliche Sicherheitsmaßnahmen erfordert.Mit gVisor, einer Sandbox für die Containerlaufzeit, können Sie die Sicherheitsisolierung zwischen der Anwendung und dem Host-Kernel zusätzlich verbessern.Außerdem können Sie mit gVisor zusätzliche Integritätsprüfungen durchführen oder den Zugriffsbereich für einen Dienst einschränken. Es ist kein Container-Härtungsdienst zum Schutz vor externen Bedrohungen.

Ressourcen

Netzwerk sichern

Wenn Sie ein neues Projekt erstellen, wird automatisch eine standardmäßige Virtual Private Cloud (VPC) von Google Cloud mit einer RFC 1918-IP-Adresse bereitgestellt. Für die Produktionsbereitstellung sollten Sie diese Standard-VPC vermeiden. Löschen Sie sie stattdessen und stellen Sie eine neue VPC mit den gewünschten Subnetzen bereit. Da Sie mit VPC alle privaten IP-Adressen verwenden können, empfehlen wir Ihnen, die Netzwerk- und IP-Adresszuweisung für Ihre verbundenen Bereitstellungen und Ihre Projekte sorgfältig zu gestalten.Ein Projekt lässt mehrere VPC-Netzwerke zu, aber es hat sich bewährt, diese Netzwerke auf ein Netzwerk pro Projekt zu begrenzen, um die IAM-Erzwingung effektiv zu nutzen.

Virtual Private Cloud bietet eine zentralisierte Bereitstellung, Verwaltung und Steuerung. Sie können damit eine robuste Produktionsbereitstellung erstellen, die Ihnen ein einzelnes Netzwerk bietet und Arbeitslasten in einzelne Projekte isoliert, die von verschiedenen Teams verwaltet werden. Virtual Private Cloud besteht aus Host- und Dienstprojekten. Ein Hostprojekt ist das Hauptprojekt mit einer gut durchdachten VPC und Subnetzen. Ein Dienstprojekt wird an die Subnetze des Hostprojekts angehängt und ermöglicht es Ihnen, Nutzer auf Projektebene mithilfe von IAM zu isolieren.

Mit Cloud Logging und Cloud Monitoring können Sie skalierte Logs aus verschiedenen Diensten aufnehmen und sofort visualisieren. Sie können diese Funktion in externe Tools für Sicherheitsinformationen und Ereignisverwaltung (SIEM, Security Information and Event Management) integrieren, um erweiterte Bedrohungen zu analysieren.

Firewalls

Firewalls in Google Cloud lassen sich sehr gut skalieren. Sie können sie also auf Projektebene definieren und auf der Ebene der angehängten Instanzen bewerten. Mit Firewallregeln können Sie mehrere Regeln definieren, die auf eingehenden und ausgehenden Netzwerkverkehr abzielen. Der skalierbare Ansatz zur Anwendung dieser Firewallregeln besteht darin, sie auf Netzwerk-Tags oder Dienstkonten auszurichten.

Die sicherere Methode zum Bereitstellen von Firewallregeln besteht darin, Firewallregeln mit einem Dienstkonto zu verwenden. Wenn Sie jedoch Virtual Private Cloud-Bereitstellungen verwenden, definieren Sie für die zentralisierte Verwaltung immer Firewalls in Ihrem Hostprojekt.

Erkennung von Netzwerkangriffen

Viele Kunden verwenden erweiterte Sicherheits- und Traffic-Prüfungstools lokal. Dieselben Tools müssen auch für bestimmte Anwendungen in der Cloud verfügbar sein. Mit der VPC-Paketspiegelung können Sie Fehler in Ihren vorhandenen Virtual Private Clouds (VPCs) beheben. Mit der Google Cloud-Paketspiegelung können Sie Tools von Drittanbietern verwenden, um Netzwerkverkehr in großem Umfang zu erfassen und zu prüfen, eine Angriffserkennung, Überwachung der Anwendungsleistung und bessere Sicherheitskontrollen zu ermöglichen und so die Sicherheit und Compliance von Arbeitslasten in Compute Engine und Google Kubernetes Engine (GKE) zu gewährleisten.

Trafficverwaltung

Prüfen Sie für Produktionsbereitstellungen die konfigurierten Routen unter jeder VPC. Strikte und eingeschränkte Regeln werden empfohlen. Verwenden Sie für GKE-Bereitstellungen Traffic Director zur Skalierung der Envoy-Verwaltung oder Istio zur Verwaltung des Trafficflusses.

Netzwerkverbindung

Wählen Sie in Google Cloud eine Virtual Private Cloud aus oder verwenden Sie VPC-Peering. Netzwerk-Tags und Dienstkonten werden nicht über Peering-Projekte übersetzt, aber mit Virtual Private Cloud können diese im Hostprojekt zentralisiert werden. Mit Virtual Private Cloud lassen sich Dienstkonten und Netzwerk-Tags einfacher zentralisieren. Wir empfehlen Ihnen jedoch, die Verwaltung von Kontingenten und Beschränkungen sorgfältig zu planen. VPC-Peering kann doppelten Aufwand zur Verwaltung dieser Steuerelemente mit sich bringen, bietet Ihnen jedoch mehr Flexibilität bei Kontingenten und Beschränkungen.

Prüfen Sie für den externen Zugriff Ihre Bandbreitenanforderungen und wählen Sie Cloud VPN, Cloud Interconnect oder Partner Interconnect aus. Es ist möglich, Jump-Points über eine einzelne VPC oder ein Projekt zu zentralisieren, um die Netzwerkverwaltung zu minimieren.

VPC Service Controls bietet eine zusätzliche Sicherheitsebene für Google Cloud-Dienste, die unabhängig von IAM ist. Im Gegensatz zur detaillierten identitätsbasierten Zugriffssteuerung von IAM ermöglicht VPC Service Controls eine breitere kontextbasierte Perimetersicherheit, einschließlich der Kontrolle ausgehender Datenübertragungen im gesamten Perimeter. Verwenden Sie VPC Service Controls und IAM für gestaffelte Sicherheitsebenen.

Integrierte Tools

Das Security Command Center bietet mehrere Detektoren, mit denen Sie die Sicherheit Ihrer Infrastruktur analysieren können, z. B. Event Threat Detection (ETD), Google Cloud Armor-Logs und Security Health Analytics (SHA). Aktivieren Sie die Dienste, die Sie für Ihre Arbeitslasten benötigen, und überwachen und analysieren Sie nur die erforderlichen Daten.

Im Network Intelligence Center erhalten Sie Einblick in die Leistung Ihrer Netzwerktopologie und Architektur. Sie erhalten detaillierte Informationen zur Netzwerkleistung und können Ihre Bereitstellung optimieren, um Engpässe in Ihrem Dienst zu vermeiden. Die Network Reachability gibt Ihnen Einblick in die Firewallregeln und -richtlinien, die auf den Netzwerkpfad angewendet werden.

Fragen zum Design

  • Wie wird die Netzwerksicherheit heute verwaltet?
  • Haben Sie eine perimeterbasierte Firewallfilterung?
  • Können Sie zur Firewallfilterung auf Anwendungsebene wechseln?
  • Wie werden Netzwerkzugriffssteuerungen verwaltet?
  • Sind Sie stark von statischen IP-Adressen abhängig?
  • Können Sie zur dienstbasierten Zugriffssteuerung wechseln?
  • Wie wird die Netzwerksicherheit überwacht?
  • Haben Sie IDS/IPS zur Überwachung des Netzwerkverkehrs?
  • Wie verwalten Sie Netzwerke für den Administratorzugriff auf Ihre Produktionsumgebung?
  • Haben Sie häufige Audits zur Überwachung der Zugriffsaktivitäten auf das Admin-Netzwerk?

Empfehlungen

  • Mit VPC Service Controls Dienstperimeter für vertrauliche Daten definieren
  • Traffic nach Möglichkeit mit nativen Google Cloud-Firewallregeln verwalten
  • Nach Möglichkeit weniger, aber dafür umfassendere Firewallregelsätze verwenden
  • Dienstkonten mit Firewallregeln für zusätzliche Sicherheit verwenden
  • Bei Verwendung von Tags Sicherheitsrichtlinien automatisch überwachen
  • Zusätzlich zum Security Command Center Tools von Drittanbietern verwenden, um Ihr Netzwerk abzusichern und zu schützen
  • Externen Zugriff beschränken
  • Bei Änderung der VPC-Standardroute explizite Routen für Google APIs hinzufügen
  • Instanzen bereitstellen, die im selben Subnetz Google APIs verwenden

Wichtige Dienste

Mit VPC Service Controls können Sie das Risiko einer Daten-Exfiltration aus von Google verwalteten Diensten wie Cloud Storage und BigQuery verringern. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Traffic Director ist die vollständig verwaltete Google Cloud-Traffic-Steuerungsebene für Service Mesh. Mit Traffic Director können Sie das globale Load-Balancing für Cluster und VM-Instanzen in mehreren Regionen bereitstellen, die Dienstproxys von der Systemdiagnose entlasten und komplexe Richtlinien für die Trafficsteuerung konfigurieren. In Traffic Director werden für die Kommunikation mit den Dienstproxys in der Datenebene offene Standard-APIs (xDS v2) eingesetzt. Dadurch wird gewährleistet, dass Sie nicht an eine proprietäre Lösung gebunden sind und Sie können die Service Mesh-Steuerungsebene Ihrer Wahl verwenden.

Das Security Command Center bietet Einblick in die Ressourcen in Google Cloud und deren Sicherheitsstatus. Mit dem Security Command Center können Sie Bedrohungen leichter verhindern, erkennen und darauf reagieren. Damit können Sie sicherheitsbezogene Fehlkonfigurationen in virtuellen Maschinen, Netzwerken, Anwendungen und Storage-Buckets über ein zentrales Dashboard ermitteln und Maßnahmen ergreifen, bevor sie potenziell zu Schäden oder Verlusten führen können. Die integrierten Funktionen können verdächtige Aktivitäten in Ihren Cloud Logging-Sicherheitslogs schnell sichtbar machen oder anzeigen, dass virtuelle Maschinen kompromittiert wurden. Sie können auf Bedrohungen reagieren, indem Sie Handlungsempfehlungen befolgen oder Logs in Ihr SIEM exportieren, um sie näher zu untersuchen.

Die Event Threat Detection scannt automatisch verschiedene Logtypen auf verdächtige Aktivitäten in Ihrer Google Cloud-Umgebung. Mit den branchenführenden Bedrohungsinformationen können Sie schnell gefährliche und kostspielige Bedrohungen wie Malware, Kryptomining, unbefugten Zugriff auf Google Cloud-Ressourcen, DDoS-Angriffe und Brute-Force-SSH erkennen. Sicherheitsteams ermöglicht das Auswerten umfangreicher Logdaten ein schnelles Erkennen und Beheben hochriskanter Vorfälle.

Istio ist ein offenes Service Mesh, das eine einheitliche Möglichkeit zum Verbinden, Verwalten und Schützen von Mikrodiensten bietet. Es unterstützt die Verwaltung von Trafficströmen zwischen Diensten. Es erzwingt Zugriffsrichtlinien und aggregiert Telemetriedaten, ohne dass Code der Mikrodienste umgeschrieben werden muss. Istio in Google Kubernetes Engine ist ein Add-on für GKE, mit dem Sie schnell einen Cluster mit allen Komponenten erstellen können, die Sie zum Erstellen und Ausführen als Istio Service Mesh benötigen.

Mit der Paketspiegelung können Sie Ihren Netzwerkverkehr spiegeln und an eine Drittanbietersicherheitslösung wie eine Angriffserkennungslösung (Intrusion Detection Solution, IDS) senden, um Angriffe proaktiv zu erkennen und darauf zu reagieren. Es unterstützt rechtliche und Compliance-Anforderungen wie PCI 11.4, für die eine Lösung zur Angriffserkennung erforderlich ist.

Ressourcen

Datensicherheitskontrollen implementieren

Sie können Datensicherheitskontrollen in drei Bereichen implementieren: Verschlüsselung, Speicherung und Datenbanken.

Verschlüsselung

Google Cloud bietet eine Vielzahl von Verwaltungsoptionen für Verschlüsselungsschlüssel, die Ihren Anforderungen entsprechen. Ermitteln Sie die Lösungen, die Ihren Anforderungen für die Generierung, Speicherung und Rotation von Schlüsseln am besten entsprechen, sei es für Storage-, Computing- oder Big-Data-Arbeitslasten. Verwenden Sie die Verschlüsselung als Teil einer umfassenderen Datensicherheitsstrategie.

Standardverschlüsselung: Google Cloud verschlüsselt inaktive Kundendaten standardmäßig, ohne dass ein Eingreifen Ihrerseits erforderlich ist. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Inaktive Daten in der Google Cloud Platform verschlüsseln.

Benutzerdefinierte Verschlüsselung: Mit Google Cloud können Sie Ihre Daten mit der Envelope-Verschlüsselung verschlüsseln, während der Schlüsselverschlüsselungsschlüssel im Cloud Key Management Service (Cloud KMS) gespeichert wird. Google Cloud stellt bei Bedarf auch Cloud-Hardware-Sicherheitsmodule (HSMs) zur Verfügung. Wenn Sie IAM-Berechtigungen mit Cloud KMS/HSM auf Nutzerebene für einzelne Schlüssel verwenden, können Sie den Zugriff und den Verschlüsselungsprozess verwalten. Verwenden Sie Cloud-Audit-Logs, um Logs zu Administratoraktivitäten und Schlüsselverwendung anzuzeigen. Überwachen Sie zum Absichern Ihrer Daten Logs mit Monitoring, um die ordnungsgemäße Verwendung Ihrer Schlüssel zu gewährleisten.

Storage

Cloud Storage bietet die Objektversionierung, die für Objekte aktiviert werden sollte, die ihren Status beibehalten müssen. Die Versionierung verursacht zusätzliche Speicherkosten und bei sensiblen Objekten sollte dies sorgfältig abgewogen werden.

Mit der Verwaltung des Objektlebenszyklus können Sie ältere Objekte archivieren und ein Downgrade der Speicherklasse durchführen, um Kosten zu sparen. Diese Vorgänge erfordern eine sorgfältige Planung, da möglicherweise Gebühren für das Ändern der Speicherklasse und den Zugriff auf Daten anfallen.

Mit Aufbewahrungsrichtlinien und Bucket-Sperre können Sie steuern, wie lange Objekte im Bucket aufbewahrt werden müssen, um die Vorschriften von Compliance und Litigation Holds einzuhalten. Wenn Sie den Bucket mit einer bestimmten Aufbewahrungsrichtlinie sperren, können Sie den Bucket vor dem Ablaufdatum nicht entfernen oder löschen.

Zugriffssteuerung

IAM-Berechtigungen gewähren Zugriff auf Buckets sowie Bulk-Zugriff auf die Objekte eines Buckets. IAM-Berechtigungen geben Ihnen eine allgemeine Kontrolle über Ihre Projekte und Buckets, ermöglichen jedoch keine detaillierte Kontrolle über einzelne Objekte.

Zugriffssteuerungslisten (Access Control Lists, ACLs) gewähren Nutzern Lese- oder Schreibzugriff auf einzelne Buckets oder Objekte. In den meisten Fällen empfehlen wir die Verwendung von IAM-Berechtigungen anstelle von ACLs. Verwenden Sie ACLs nur, wenn Sie genaue Kontrolle über einzelne Objekte benötigen.

Signierte URLs (Authentifizierung von Abfragestrings) gewähren über eine von Ihnen erstellte URL zeitlich begrenzten Lese- oder Schreibzugriff auf ein Objekt. Jede Person, für die Sie die URL freigeben, kann für die von Ihnen angegebene Dauer auf das Objekt zugreifen, unabhängig davon, ob die Person ein Google-Konto hat.

Signierte URLs sind auch praktisch, wenn Sie den Zugriff auf private Objekte für einen begrenzten Zeitraum delegieren möchten.

Signierte Richtliniendokumente legen fest, was in einen Bucket hochgeladen werden kann. Richtliniendokumente bieten im Vergleich zu signierten URLs eine umfassendere Kontrolle über die Größe und die Art von Inhalten sowie über andere Uploadeigenschaften und können von Websiteinhabern verwendet werden, um Besuchern das Hochladen von Dateien in Cloud Storage zu ermöglichen.

Mit der Cloud Storage-Verschlüsselung können Sie Verschlüsselungsmechanismen steuern. Cloud Storage verschlüsselt Ihre Daten immer serverseitig, bevor sie auf das Laufwerk geschrieben werden. Sie können die serverseitige Verschlüsselung mit einer der folgenden Methoden steuern:

  • Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) Sie können Ihre Verschlüsselungsschlüssel mit Cloud KMS generieren und verwalten. Diese bilden dann eine weitere Verschlüsselungsebene über der standardmäßigen Verschlüsselung von Cloud Storage.

  • Vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK, Customer-Supplied Encryption Keys) Sie können eigene Verschlüsselungsschlüssel erstellen und verwalten. Dies ist eine weitere Verschlüsselungsebene zur standardmäßigen Cloud Storage-Verschlüsselung.

Beachten Sie, dass Schlüssel in Cloud KMS repliziert und von Google zur Verfügung gestellt werden. Die Sicherheit und Verfügbarkeit von CSEK liegt in Ihrer Verantwortung. Wir empfehlen eine sorgfältige Abwägung. Sie können jederzeit eine clientseitige Verschlüsselung durchführen und verschlüsselte Daten in Cloud Storage speichern, das mit serverseitiger Verschlüsselung verschlüsselt wird.

Nichtflüchtige Speicher werden automatisch verschlüsselt. Sie können aber auch eigene Schlüssel bereitstellen oder verwalten. Sie können diese Schlüssel in Cloud KMS oder Cloud HSM speichern oder sie von Ihren lokalen Geräten bereitstellen. Vom Kunden bereitgestellte Schlüssel werden weder in Instanzvorlagen noch in einer Google-Infrastruktur gespeichert. Daher können die Schlüssel nicht wiederhergestellt werden, wenn sie verloren gehen.

Snapshots nichtflüchtiger Speicher werden standardmäßig an einem multiregionalen Speicherort gespeichert, der dem Speicherort Ihres nichtflüchtigen Speichers am nächsten ist, oder Sie können den Standort Ihrer Region auswählen. Sie können Snapshots einfach freigeben, um neue Maschinen innerhalb des Projekts in einer neuen Region wiederherzustellen. Wenn Sie diese für andere Projekte freigeben möchten, müssen Sie ein benutzerdefiniertes Image erstellen.

Kostenkontrolle Verwenden Sie Cachesteuerungsmetadaten zur Analyse häufig aufgerufener Objekte und Cloud CDN für das Caching statischer öffentlicher Inhalte.

Fragen zum Design

Verschlüsselung

  • Haben Sie einen Prozess, um die Einrichtung von Verschlüsselungsschlüsseln zu verwenden?
  • Wie verwalten Sie den Lebenszyklus von Schlüsseln?
  • Wie wird die Zugriffssteuerung für Verschlüsselungsschlüssel gesteuert?
  • Wie oft prüfen Sie den Zugriff auf Schlüssel?

Speicher

  • Wie möchten Sie den Speicherplatz nutzen? Was ist Ihnen wichtig: Latenz, IOPS, Verfügbarkeit?
  • Wie möchten Sie den Zugriff auf vertrauliche Daten speichern und steuern?
  • Wie oft prüfen Sie Daten und wie können Sie den Zugriff darauf steuern?
  • Haben Sie ein System zur Überwachung der Daten-Exfiltration? Wie werden diese Benachrichtigungen verarbeitet?

Empfehlungen

Verschlüsselung

  • Von Google verwaltete Schlüssel verwenden, um den Lebenszyklus der Schlüsselverwaltung zu vereinfachen
  • Mit IAM steuern, wer auf Cloud KMS zugreifen darf
  • Zugriffssteuerung für Verschlüsselungsschlüssel häufig prüfen und unnötigen Zugriff widerrufen

Zugriffssteuerung und Speicher

  • Zugriffssteuerung auf Objektebene verwenden, um die Gewährung von Zugriff auf den gesamten Bucket einzuschränken
  • Objektversionierung für sensible Daten aktivieren, um Daten schnell auf einen bekannten Status zurückzusetzen
  • Einschränken, wer Objekte oder Buckets in Cloud Storage löschen darf
  • Prinzip der geringsten Berechtigung verwenden, wenn IAM-Zugriff gewährt wird
  • Unbekannten Personen keine Rollen mit der Berechtigung setIamPolicy zuweisen
  • Gehen Sie beim Gewähren von Berechtigungen für anonyme Nutzer vorsichtig vor.
  • Sich über verschiedene Rollen in Cloud Storage informieren und eingeschränkte Rollen mithilfe von benutzerdefinierten Rollen und Berechtigungen auswählen.
  • Legen Sie keine Berechtigungen fest, die dazu führen, dass Buckets und Objekte nicht mehr zugänglich sind.
  • Administrative Kontrolle über Ihre Buckets delegieren.
  • Gewährleisten, dass Bucket Policy Only für Cloud Storage-Buckets aktiviert ist.

Wichtige Dienste

Mit dem Cloud Key Management Service können Sie Millionen von kryptografischen Schlüsseln speichern und dabei detaillierte Vorgaben machen, wie Ihre Daten verschlüsselt werden sollen. Es besteht die Möglichkeit, die Schlüssel automatisch regelmäßig zu rotieren. Daten werden dann nur noch mit der jeweils gültigen Hauptversion verschlüsselt und die mit einem Schlüssel zugängliche Menge an Daten wird eingeschränkt. Sie können beliebig viele aktive Schlüsselversionen verwalten.

Ressourcen

Datenbankzugriffssteuerungen verwenden

Folgen Sie vor der Bereitstellung von Cloud SQL den Best Practices für die Sicherheit, um die Zugriffssteuerung abzusichern. Die Zugriffssteuerung erfolgt auf Instanz- und Datenbankebene.

Auf der Instanzebene gewähren Sie Zugriff auf Ihre Cloud SQL-Instanz über eine Anwendung oder einen Client (ausgeführt in App Engine oder extern) oder von einem anderen Google Cloud-Dienst wie Compute Engine aus.

Auf der Datenbankebene vergeben Sie die Zugriffsberechtigungen auf die Daten der Instanz für MySQL-Nutzer mit dem System der MySQL-Zugriffsberechtigungen.

Verwenden Sie nach Möglichkeit den Cloud SQL-Proxy, um die Kommunikation zwischen Anwendung und Datenbank zu verwalten. Cloud SQL Proxy ist für Compute Engine- und GKE-Bereitstellungen verfügbar.

Cloud Bigtable verwendet ähnliche Steuerelemente mit IAM auf Projekt- und Instanzebene.

Mit Cloud Spanner können Sie den Zugriff für Nutzer und Gruppen auf Projekt-, Instanz- und Datenbankebene steuern. In jedem Fall empfehlen wir, IAM mit der geringsten Berechtigung zu verwenden.

Fragen zum Design

  • Haben Sie einen Prozess, um Zugriff auf Datenbanken zu gewähren und festzulegen, wie oft Sie diese prüfen?
  • Prüfen Sie Datenbanken auf sensible Daten?
  • Wie oft erstellen Sie Snapshots von Datenbanken bzw. wie oft sichern Sie diese?
  • Wie verwalten und sichern Sie Verschlüsselungsschlüssel für sie?

Empfehlungen

  • Zugriff auf die Datenbank einschränken
  • Prinzip der geringsten Berechtigung verwenden, wenn IAM-Zugriff gewährt wird
  • Unbekannten Personen keine Rollen mit der Berechtigung setIamPolicy zuweisen
  • Gehen Sie beim Gewähren von Berechtigungen für anonyme Nutzer vorsichtig vor.
  • Gewährleisten, dass BigQuery-Datasets nicht anonym oder öffentlich zugänglich sind

Ressourcen

Datensicherheit implementieren

Cloud Data Loss Prevention (DLP) umfasst Tools zum Klassifizieren, Maskieren, Tokenisieren und Umwandeln sensibler Daten, damit Sie die Daten, die Sie erfassen, speichern oder für Ihr Geschäft bzw. für Analysen verwenden, besser verwalten können. Durch den Einsatz von Funktionen wie formaterhaltender Verschlüsselung oder Tokenisierung können Sie die Daten beispielsweise zusammenführen oder analysieren, die vertraulichen Rohdaten dabei aber verschleiern.

Die Architektur von Cloud DLP umfasst mehrere Funktionen, mit denen der Dienst in kleinen wie in großen Systemen leicht eingesetzt werden kann. Mit Vorlagen für die Untersuchung und De-Identifikation können Sie Konfigurationen einmal definieren und dann für verschiedene Anfragen verwenden. Cloud DLP-Job-Trigger und -Aktionen ermöglichen es Ihnen, regelmäßig Inspektionsjobs zu starten und Pub/Sub-Benachrichtigungen zu generieren, wenn die Jobs abgeschlossen sind.

Quasi-Identifikatoren sind Elemente, die eine teilweise Identifizierung ermöglichen oder in Kombination mit anderen Daten die Identifizierung einer einzelnen Person oder einer sehr kleinen Gruppe von Personen ermöglichen. Mit Cloud DLP können Sie statistische Attribute wie k-Anonymität und l-Diversität messen und so mehr über den Datenschutz und seine korrekte Umsetzung erfahren.

Wichtige Dienste

Cloud DLP unterstützt Sie dabei, sensible Daten zu ermitteln und besser zu verwalten. Der Dienst ermöglicht eine schnelle, skalierbare Klassifizierung sowie das Entfernen vertraulicher Daten wie Kreditkartennummern, Namen, Sozialversicherungsnummern, US-amerikanischen und ausgewählten internationalen Kennzeichnungsnummern, Telefonnummern und Google Cloud-Anmeldedaten. Cloud DLP klassifiziert diese Daten dank der mehr als 120 vordefinierten Detektoren zum Ermitteln von Mustern, Formaten sowie Prüfsummen und erkennt dabei sogar kontextabhängige Hinweise. Sie können die Daten mit Methoden wie Maskierung, sicherem Hashing, Tokenisierung, Bucketing oder formaterhaltender Verschlüsselung entfernen.

Anwendungen mit Steuerelementen für die Anwendungslieferkette erstellen

Ohne automatisierte Tools wird die Erfüllung konsistenter Sicherheitsanforderungen bei immer komplexeren Anwendungsumgebungen, die bereitgestellt, aktualisiert oder gepatcht werden, immer schwieriger. Das Erstellen einer CI/CD-Pipeline löst viele dieser Probleme. Weitere Informationen finden Sie unter Operative Exzellenz.

Automatisierte Pipelines entfernen manuelle Fehler, bieten standardisierte Entwicklungs-Feedbackschleifen und ermöglichen schnelle Produktiterationen. Daher ist es wichtig, diese Pipelines abzusichern. Wenn ein Angreifer Ihre Pipeline manipulieren kann, könnte sich dies auf Ihren gesamten Stack auswirken. Wir empfehlen Ihnen, den Zugriff auf diese Pipelines mit den geringsten Berechtigungen abzusichern und eine Genehmigungskette zu haben, bevor Sie den Code in Bereitstellungen übertragen.

Cloud Source Repositories- und Container Registry-Dienste bieten Versionskontrolle und unterstützen Sie so beim Identifizieren, Absichern, Patchen und Aufrechterhalten einer konsistenten Bereitstellung für alle Arbeitslasten.

Containersicherheit

Container Analysis erleichtert das Scannen und Beheben von Sicherheitslücken vor der Containerbereitstellung. Container Analysis speichert Metadaten für gescannte Images, mit deren Hilfe Sie die neuesten Sicherheitslücken identifizieren und diese patchen oder aktualisieren können.

Mit der Binärautorisierung können Sie Container mit einer oder mehreren eindeutigen Attestierungen signieren. Mit solchen Bestätigungen und Richtliniendefinitionen können Sie nur genehmigte Container während der Laufzeit identifizieren, steuern und bereitstellen. Es hat sich bewährt, ein striktes Richtlinienmodell und mindestens einen Unterzeichner einzurichten, der die Containerbereitstellung genehmigt und unterzeichnet.

Web Security Scanner prüft Ihre bereitgestellte Anwendung während der Laufzeit auf Sicherheitslücken. Sie können den Web Security Scanner so konfigurieren, dass er als angemeldeter Nutzer mit Ihrer Anwendung interagiert und auf verschiedenen Seiten nach Sicherheitslücken sucht. Wir empfehlen, Scans in einer Testumgebung auszuführen, die die Produktionsumgebung zur Vermeidung unbeabsichtigten Verhaltens widerspiegelt.

Bei einer komplexen Bereitstellung, die sich über mehrere Teams und Funktionen erstreckt, sollten Sie Änderungen durch Automatisierung bereitstellen, die fortlaufend und schrittweise überprüft und verifiziert wird.

Fragen zum Design

  • Haben Sie einen klar definierten Prozess (z. B. Canary-Tests, Scannen auf Sicherheitslücken oder Genehmigungskette), um sicherzustellen, wie neue Änderungen in Ihrer Produktionsumgebung bereitgestellt und überwacht werden?
  • Wird Ihr Anwendungscode auf Sicherheitslücken überprüft, um die neuesten Sicherheitslücken zu minimieren?
  • Haben Sie eine Sandbox-Umgebung, um solche Scans zu testen und zu überwachen?
  • Wie verwalten Sie Secrets für Ihre Bereitstellungen?
  • Wie prüfen und rotieren Sie Ihre Secrets?

Empfehlungen

  • Genehmigte Basis-Images mit der erforderlichen Mindestanzahl von Komponenten verwenden
  • Images als Teil Ihres CI/CD-Prozesses scannen und analysieren
  • Benachrichtigungen und Probleme verfolgen und Patches automatisieren
  • Verwaltung von Secrets verwenden
  • Regelmäßig prüfen, wie Ihre Anwendungen bereitgestellt werden

Wichtige Dienste

Container Registry ist ein zentraler Ort, an dem Ihr Team Docker-Images verwalten, Sicherheitslücken analysieren und detailgenau entscheiden kann, wer worauf Zugriff erhält. Mit den bestehenden CI/CD-Integrationen können Sie vollautomatische Docker-Pipelines einrichten und so für schnelle Rückmeldungen sorgen. Container Registry ist eine private Container-Image-Registry, die in Google Cloud ausgeführt wird. Sie unterstützt Docker Image Manifest V2 und OCI-Image-Formate.

Container Analysis bietet Informationen zu Sicherheitslücken und andere Metadaten von Container-Images in Container Registry. Die Metadaten werden als Hinweise gespeichert. Für jede mit einem Image verknüpfte Instanz eines Hinweises wird ein Vorkommen erstellt.

Der Binärautorisierungsdienst bietet Software-Lieferkettensicherheit für Anwendungen, die in der Cloud ausgeführt werden. Die Binärautorisierung funktioniert mit Images, die Sie von Container Registry oder einer anderen Container-Image-Registry an GKE bereitstellen. Mit der Binärautorisierung werden interne Prozesse, die die Qualität und Integrität Ihrer Software gewährleisten, erfolgreich abgeschlossen, bevor eine Anwendung in Ihrer Produktionsumgebung bereitgestellt wird.

Mit dem Security Command Center können Sie Sicherheitslücken in Ihren App Engine-, Compute Engine- und Google Kubernetes Engine-Webanwendungen ermitteln. Dieses Tool durchsucht Ihre Anwendung, folgt dabei allen Links im Bereich der Start-URLs und versucht, so viele Nutzereingaben und Event-Handler wie möglich anzuwenden. Es kann automatisch vier verbreitete Sicherheitslücken scannen und erkennen, nämlich Cross-Site-Scripting (XSS), Flash Injection, gemischte Inhalte (HTTP in HTTPS) und veraltete bzw. unsichere Bibliotheken. Es erkennt diese frühzeitig und erzeugt dabei einen sehr geringen Anteil falsch positiver Meldungen. Sie können Sicherheitsscans ganz einfach einrichten, ausführen, planen und verwalten. Für Google Cloud-Nutzer ist das Security Command Center kostenlos verfügbar.

Ressourcen

Infrastruktur prüfen

Cloud Logging bietet Audit-Logging für Ihre Google Cloud-Dienste. Mit Cloud-Audit-Logs können Sicherheitsteams Audit-Trails in Google Cloud verwalten. Da Cloud Logging in alle Google Cloud-Dienste integriert ist, können Sie Details für langfristige Archivierungs- und Compliance-Anforderungen protokollieren. Die Protokollierung von Datenzugriffslogs kann teuer werden. Planen Sie daher sorgfältig, bevor Sie diese Funktion aktivieren.

Sie können Audit-Logs über Echtzeit-Streaming exportieren und speichern, um Ihre Compliance-Anforderungen zu erfüllen. Sie können Daten nach Cloud Storage, BigQuery oder Pub/Sub exportieren. Durch das Verschieben Ihrer Logs nach BigQuery oder Cloud Storage profitieren Sie von geringeren Kosten und langfristiger Speicherung.

Die Access Transparency-Logs enthalten Daten zu den Aktionen des Supportteams, die Sie vielleicht telefonisch angefordert haben, einfache technische Prüfungen aufgrund Ihrer Supportanfragen oder andere Aktionen für legitime Geschäftszwecke, wie die Wiederherstellung nach einem Ausfall.

Fragen zum Design

  • Wie lange müssen Audit-Logs aufbewahrt werden?
  • Welche Audit-Logs müssen aufbewahrt werden?
  • Müssen Sie Audit-Logs exportieren?
  • Wie werden exportierte Audit-Logs verwendet?

Empfehlungen

  • Audit-Logs zur Berichterstellung nach BigQuery exportieren
  • Audit-Logs für alle Logs, die Sie aufbewahren, aber voraussichtlich nicht verwenden oder verarbeiten müssen, nach Cloud Storage exportieren
  • Senken auf Organisationsebene verwenden, um alle Logs für eine Organisation zu erfassen
  • Logging-Senkenfilter verwenden, um Logs auszuschließen, die Sie nicht exportieren müssen

Wichtige Dienste

Ressourcen