Dieses Dokument des Google Cloud-Architektur-Frameworks enthält Best Practices zur Verwaltung von gesetzlichen Verpflichtungen.
Die aufsichtsrechtlichen Anforderungen an Ihre Cloud hängen von einer Kombination von Faktoren ab, darunter:
- Die Gesetze und Bestimmungen, die die physischen Standorte Ihrer Organisation betreffen.
- Die Gesetze und Bestimmungen, die für die physischen Standorte Ihrer Kunden gelten.
- Die aufsichtsrechtlichen Anforderungen Ihrer Branche.
Diese Anforderungen bestimmen viele der Entscheidungen, die Sie hinsichtlich der Sicherheitskontrollen treffen müssen, die für Ihre Arbeitslasten in Google Cloud aktiviert werden sollen.
Ein typisches Compliance-Verfahren besteht aus drei Phasen: Bewertung, Lückenbeseitigung und kontinuierliches Monitoring. In diesem Abschnitt werden die Best Practices beschrieben, die Sie in jeder Phase anwenden können.
Compliance-Anforderungen ermitteln
Die Compliance-Bewertung beginnt mit einer gründlichen Prüfung aller regulatorischen Verpflichtungen und ihrer Implementierung in Ihrem Unternehmen. Verwenden Sie das Center für Compliance-Ressourcen, um Hilfe bei der Bewertung von Google Cloud-Diensten zu erhalten. Auf dieser Website finden Sie Details zu folgenden Themen:
- Dienstunterstützung für verschiedene Vorschriften
- Google Cloud-Zertifizierungen und -Attestierungen
Sie können auch Kontakt zu einem Compliance-Experten von Google anfordern, um den Compliance-Lebenszyklus bei Google besser zu verstehen und zu ermitteln, wie Ihre Anforderungen erfüllt werden können.
Weitere Informationen finden Sie unter Compliance in der Cloud gewährleisten (PDF).
Assured Workloads bereitstellen
Assured Workloads ist das Google Cloud-Tool, das auf den Einstellungen in Google Cloud basiert und Ihnen hilft, Ihre Compliance-Verpflichtungen zu erfüllen. Assured Workloads bietet folgende Möglichkeiten:
- Wählen Sie Ihre Compliance-Richtlinie aus. Das Tool legt dann die grundlegenden Zugriffsrechte für Mitarbeiter automatisch fest.
- Legen Sie den Speicherort für Ihre Daten mithilfe von Organisationsrichtlinien fest, damit Ihre ruhenden Daten und Ihre Ressourcen in dieser Region verbleiben.
- Wählen Sie die Option zur Schlüsselverwaltung (z. B. den Schlüsselrotationszeitraum) aus, die Ihren Sicherheits- und Compliance-Anforderungen am besten entspricht.
- Wählen Sie für bestimmte aufsichtsrechtliche Anforderungen wie FedRAMP Moderate die Kriterien für den Zugriff durch Google-Supportmitarbeiter aus (z. B. ob die entsprechenden Zuverlässigkeitsüberprüfungen abgeschlossen sind).
- Von Google verwaltete Verschlüsselungsschlüssel müssen FIPS-140-2-konform sein und die FedRAMP Moderate-Compliance unterstützen. Für eine zusätzliche Kontrollebene und Aufgabentrennung können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden. Weitere Informationen zu Schlüsseln finden Sie unter Daten verschlüsseln.
Blueprints für Vorlagen und Best Practices prüfen, die für Ihre Compliance-Richtlinie gelten
Google hat Blueprints und Lösungsleitfäden veröffentlicht, die Best Practices beschreiben und Terraform-Module bereitstellen, mit denen Sie eine Umgebung bereitstellen können, die Sie beim Erreichen der Compliance unterstützt. Die folgende Tabelle enthält eine Auswahl von Blueprints, die die Sicherheit und die Einhaltung von Compliance-Anforderungen betreffen.
| Standard | Beschreibung |
|---|---|
| PCI | |
| FedRAMP | |
| HIPAA |
Compliance überwachen
Bei den meisten Vorschriften müssen Sie bestimmte Aktivitäten, einschließlich des Zugriffs, überwachen. Folgendes können Sie beim Monitoring als Hilfe verwenden:
- Access Transparency bietet Logs nahezu in Echtzeit, wenn Google Cloud-Administratoren auf Ihre Inhalte zugreifen.
- Logging von Firewallregeln zum Aufzeichnen von TCP- und UDP-Verbindungen in einem VPC-Netzwerk für alle Regeln, die Sie selbst erstellen. Diese Logs können nützlich sein, um den Netzwerkzugriff zu prüfen oder frühzeitig auf eine unzulässige Netzwerknutzung hinzuweisen.
- VPC-Flusslogs zum Aufzeichnen von Netzwerk-Traffic, der von VM-Instanzen gesendet oder empfangen wird.
- Security Command Center Premium zur Überwachung der Compliance mit verschiedenen Standards.
- OSSEC (oder ein anderes Open-Source-Tool) zum Logging der Aktivität von Personen mit Administratorzugriff auf die Umgebung.
- Key Access Justifications, um die Gründe für eine Schlüsselzugriffsanfrage aufzurufen.
Compliance automatisieren
Prüfen Sie, ob es Möglichkeiten gibt, Ihre Sicherheitsrichtlinien zu automatisieren, indem Sie sie als Code-Deployments in Ihre Infrastruktur einbinden, um die Einhaltung von gesetzlichen Vorschriften zu gewährleisten. Sie könnten beispielsweise Folgendes versuchen:
Verwenden Sie Sicherheits-Blueprints, um Ihre Sicherheitsrichtlinien in Ihre Infrastrukturbereitstellungen zu integrieren.
Konfigurieren Sie Security Command Center so, dass Benachrichtigungen gesendet werden, wenn Probleme mit der Compliance auftreten. Achten Sie zum Beispiel auf Probleme wie die Deaktivierung der zweistufigen Verifizierung durch Nutzer oder überprivilegierte Dienstkonten. Weitere Informationen finden Sie unter Benachrichtigungen einrichten.
Richten Sie die automatische Korrektur für bestimmte Benachrichtigungen ein. Weitere Informationen finden Sie im Cloud Functions-Code.
Weitere Informationen zur Compliance-Automatisierung finden Sie in der RCaC-Lösung (Risiko und Compliance).
Nächste Schritte
Weitere Informationen zur Compliance finden Sie in den folgenden Ressourcen:
- Anforderungen an den Datenstandort und die Datenhoheit umsetzen (nächstes Dokument in dieser Reihe)
- Center für Compliance-Ressourcen
- Whitepaper zum Thema Sicherheit bei Google (PDF)
- Assured Workloads