In diesem Dokument des Google Cloud-Architektur-Frameworks finden Sie Best Practices zum Verwalten von Assets.
Die Asset-Verwaltung ist ein wichtiger Bestandteil der Analyse der Geschäftsanforderungen. Sie müssen wissen, welche Assets Sie haben, und Ihre Assets, deren Wert und alle mit diesen verbundenen kritischen Pfade oder Prozesse genau verstehen. Sie brauchen ein exaktes Asset-Inventar, bevor Sie Sicherheitskontrollen für den Schutz Ihrer Assets entwerfen können.
Um Sicherheitsvorfälle zu verwalten und die regulatorischen Anforderungen Ihrer Organisation zu erfüllen benötigen Sie ein präzises und aktuelles Asset-Inventar, das eine Möglichkeit zur Analyse von Verlaufsdaten bietet. Sie müssen in der Lage sein, Ihre Assets zu verfolgen, einschließlich der Art der Veränderung ihres Risikos im Laufe der Zeit.
Beim Wechsel zu Google Cloud müssen Sie Ihre Asset-Verwaltungsprozesse ändern und an eine Cloud-Umgebung anpassen. Einer der Vorteile der Umstellung auf die Cloud ist , dass Ihrer Organisation so schneller skalieren kann. Eine schnelle Skalierung kann jedoch zu Schatten-IT-Problemen führen, bei denen Mitarbeiter Cloud-Ressourcen erstellen, die nicht ordnungsgemäß verwaltet und gesichert sind. Daher müssen die Prozesse der Asset-Verwaltung Mitarbeitern genug Flexibilität bieten, um ihre Arbeit zu tun und gleichzeitig geeignete Sicherheitskontrollen bereitstellen.
Cloud-Asset-Managementtools verwenden
Googles Cloud-Asset-Managementtools sind speziell auf unsere Umgebung und wichtige Anwendungsfälle unserer Kunden zugeschnitten.
Eines dieser Tools ist Cloud Asset Inventory. Es enthält sowohl Echtzeitinformationen zum aktuellen Status Ihrer Ressourcen als auch einen fünfwöchigen Verlauf. Mit diesem Dienst können Sie einen organisationsweiten Snapshot Ihres Inventars für eine Vielzahl von Google Cloud-Ressourcen und -Richtlinien abrufen. Automatisierungstools können den Snapshot dann zur Überwachung oder Durchsetzung von Richtlinien verwenden oder die Snapshots zur Compliance-Prüfung archivieren. Wenn Sie Änderungen an den Assets analysieren möchten, können Sie mit dem Asset-Inventar auch den Metadatenverlauf exportieren.
Weitere Informationen zu Cloud Asset Inventory finden Sie unter Logging- und Erkennungskontrollen implementieren sowie Erkennungsfunktionen.
Asset-Verwaltung automatisieren
Mithilfe von Automatisierung können Sie Assets auf Basis der von Ihnen angegebenen Sicherheitsanforderungen schnell erstellen und verwalten. Sie können Aspekte des Asset-Lebenszyklus auf folgende Arten automatisieren:
- Cloud-Infrastruktur mit Automatisierungstools wie Terraform bereitstellen Google Cloud bietet den Blueprint: Sicherheitsgrundlagen, mit dem Sie Infrastrukturressourcen einrichten können, die den Best Practices für Sicherheit entsprechen. Darüber hinaus werden Asset-Änderungen und Benachrichtigungen zur Richtliniencompliance in Cloud Asset Inventory konfiguriert.
- Stellen Sie Ihre Anwendungen mit Automatisierungstools wie Cloud Run und Artifact Registry bereit.
Auf Abweichungen von Ihren Compliance-Richtlinien prüfen
Abweichungen von Richtlinien können in allen Phasen des Asset-Lebenszyklus auftreten. Beispielsweise können Assets ohne die richtigen Sicherheitskontrollen erstellt oder ihre Berechtigungen eskaliert werden. Ebenso können Assets verworfen werden, ohne dass die entsprechenden Abläufe am Ende des Lebenszyklus befolgt werden.
Damit diese Szenarien vermieden werden, empfehlen wir Ihnen, Assets auf Abweichungen von Compliance zu prüfen. Welche Gruppe von Assets Sie überwachen, hängt von den Ergebnissen Ihrer Risikobewertung und den Geschäftsanforderungen ab. Weitere Informationen zum Überwachen von Assets finden Sie unter Asset-Änderungen überwachen.
In bestehende Monitoring-Systeme der Asset-Verwaltung einbinden
Wenn Sie bereits ein SIEM-System oder ein anderes Monitoring-System verwenden, binden Sie Ihre Google Cloud-Assets in dieses System ein. Durch die Einbindung erhält Ihre Organisation unabhängig von der Umgebung einen einzigen, umfassenden Überblick über alle Ressourcen. Weitere Informationen finden Sie unter Google Cloud-Sicherheitsdaten in Ihr SIEM-System exportieren und Szenarien zum Exportieren von Cloud Logging-Daten: Splunk.
Datenanalyse für eine bessere Überwachung nutzen
Sie können Ihr Inventar zur weiteren Analyse in eine BigQuery-Tabelle oder einen Cloud Storage-Bucket exportieren.
Nächste Schritte
Erfahren Sie mehr über die Verwaltung Ihrer Assets mit folgenden Ressourcen:
- Identität und Zugriff verwalten (nächstes Dokument in dieser Reihe)
- Ressourcenverwaltung
- Systemdesign