Datensicherheit implementieren

Dieses Dokument des Google Cloud-Architektur-Frameworks enthält Best Practices für die Implementierung der Datensicherheit.

Berücksichtigen Sie als Teil Ihrer Deployment-Architektur, welche Daten Sie in Google Cloud verarbeiten und speichern möchten und wie vertraulich die Daten sind. Entwerfen Sie Ihre Steuerelemente so, dass die Daten während ihres Lebenszyklus gesichert werden, die Eigentümerschaft und Klassifizierung von Daten identifiziert und Daten vor unbefugter Verwendung geschützt werden.

Ein Sicherheits-Blueprint, der ein BigQuery-Data Warehouse mit den in diesem Dokument beschriebenen Best Practices für die Sicherheit bereitstellt, finden Sie unter BigQuery-Data Warehouse zum Speichern vertraulicher Daten sichern.

Daten automatisch klassifizieren

Führen Sie die Datenklassifizierung so früh wie möglich im Lebenszyklus der Datenverwaltung durch, idealerweise beim Erstellen. Normalerweise sind für die Datenklassifizierung nur wenige Kategorien erforderlich. Beispiele:

  • Öffentlich: Daten, die für den öffentlichen Zugriff genehmigt wurden.
  • Intern: Nicht vertrauliche Daten, die nicht veröffentlicht wurden.
  • Vertraulich: Vertrauliche Daten, die für die allgemeine interne Verteilung verfügbar sind.
  • Eingeschränkt: Hochsensible oder regulierte Daten, die eine eingeschränkte Verteilung erfordern.

Mit Cloud DLP Daten in Ihrer Google Cloud-Umgebung ermitteln und klassifizieren. Cloud DLP bietet integrierte Unterstützung für das Scannen und Klassifizieren sensibler Daten in Cloud Storage, BigQuery und Datastore: Es verfügt auch über eine Streaming-API, die zusätzliche Datenquellen und benutzerdefinierte Arbeitslasten unterstützt.

Cloud DLP kann sensible Daten mithilfe von integrierten infoTypes identifizieren. Er kann sensible Elemente wie PII-Daten automatisch klassifizieren, maskieren, tokenisieren und umwandeln, um das Risiko des Erfassens, Speicherns und Verwendens von Daten zu steuern. Mit anderen Worten, sie kann in Ihre Datenlebenszyklusprozesse integriert werden, um dafür zu sorgen, dass Daten in jeder Phase geschützt sind.

Hier finden Sie weitere Informationen:

Data Governance mithilfe von Metadaten verwalten

Data Governance ist eine Kombination aus Prozessen, die dafür sorgen, dass Daten sicher, privat, präzise, verfügbar und nutzbar sind. Obwohl Sie für die Definition einer Data Governance-Strategie für Ihre Organisation verantwortlich sind, bietet Google Cloud Tools und Technologien, mit denen Sie Ihre Strategie in die Praxis umsetzen können. Google Cloud bietet außerdem ein Framework für Data Governance (PDF) in der Cloud.

Data Catalog verwenden zum Suchen, Auswählen und Verwenden von Metadaten zur Beschreibung Ihrer Datenassets in der Cloud. Mit Data Catalog können Sie nach Datenassets suchen und dann die Assets mit Metadaten taggen. Binden Sie Data Catalog in Cloud DLP ein, um Ihre Datenklassifizierung zu beschleunigen und vertrauliche Daten automatisch zu identifizieren. Nachdem Daten getaggt wurden, können Sie mit Google Identity and Access Management (IAM) einschränken, welche Daten Nutzer über Data Catalog-Ansichten abfragen oder verwenden können.

Verwenden Sie Dataproc Metastore oder Hive Metastore, um Metadaten für Arbeitslasten zu verwalten. Data Catalog hat einen Hive-Connector, mit dem der Dienst Metadaten in einem Hive-Metastore erkennen kann.

Verwenden Sie Dataprep by Trifacta, um Regeln für die Datenqualität über eine Konsole zu definieren und zu erzwingen. Sie können Dataprep in Cloud Data Fusion oder Dataprep als eigenständigen Dienst verwenden.

Daten gemäß ihrer Lebenszyklusphase und Klassifizierung schützen

Nachdem Sie Daten im Kontext ihres Lebenszyklus definiert und anhand ihrer Vertraulichkeit und Risiken klassifiziert haben, können Sie die richtigen Sicherheitskontrollen zum Schutz zuweisen. Sie müssen dafür sorgen, dass Ihre Steuerelemente einen angemessenen Schutz bieten, Compliance-Anforderungen erfüllen und das Risiko reduzieren. Wenn Sie zur Cloud wechseln, sollten Sie Ihre aktuelle Strategie überprüfen und möglicherweise Ihre aktuellen Prozesse ändern.

In der folgenden Tabelle werden drei Merkmale einer Datensicherheitsstrategie in der Cloud beschrieben.

Merkmal Beschreibung
Identifizierung Machen Sie sich mit der Identität von Nutzern, Ressourcen und Anwendungen vertraut, wenn Sie Daten erstellen, ändern, speichern, verwenden, freigeben und löschen.

Verwenden Sie Cloud Identity und IAM, um den Datenzugriff zu steuern. Wenn Ihre Identitäten Zertifikate erfordern, sollten Sie den Zertifizierungsstellendienst in Betracht ziehen.

Weitere Informationen finden Sie unter Identität und Zugriff verwalten.
Grenze und Zugriff Legen Sie Steuerelemente für den Zugriff auf Daten, von wem und unter welchen Umständen fest. Zugriffsgrenzen für Daten können auf folgenden Ebenen verwaltet werden:

Sichtbarkeit Sie können die Nutzung prüfen und Berichte erstellen, die zeigen, wie Daten kontrolliert und aufgerufen werden. Google Cloud Logging und Access Transparency bieten Einblicke in die Aktivitäten Ihrer eigenen Cloud-Administratoren und Google-Mitarbeiter. Weitere Informationen finden Sie unter Daten überwachen.

Daten verschlüsseln

Google Cloud verschlüsselt inaktive Kundendaten standardmäßig, ohne dass Sie etwas unternehmen müssen. Zusätzlich zur Standardverschlüsselung bietet Google Cloud Optionen für die Umschlagverschlüsselung und die Verwaltung von Verschlüsselungsschlüsseln. Beispielsweise werden nichtflüchtige Compute Engine-Speicher automatisch verschlüsselt, aber Sie können Ihre eigenen Schlüssel bereitstellen oder verwalten.

Sie müssen die Lösungen ermitteln, die Ihren Anforderungen für die Generierung, Speicherung und Rotation von Schlüsseln am besten entsprechen, unabhängig davon, ob Sie die Schlüssel für Ihre Speicher-, Computing- oder für Big-Data-Arbeitslasten auswählen.

Google Cloud bietet die folgenden Optionen für die Verschlüsselung und Schlüsselverwaltung:

  • Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK). Sie können Ihre Verschlüsselungsschlüssel mit dem Cloud Key Management Service (Cloud KMS) generieren und verwalten. Verwenden Sie diese Option, wenn Sie bestimmte Anforderungen an die Schlüsselverwaltung haben, z. B. dass Verschlüsselungsschlüssel regelmäßig rotiert werden müssen.
  • Vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK, Customer-Supplied Encryption Keys). Sie können eigene Verschlüsselungsschlüssel erstellen und verwalten und sie bei Bedarf an Google Cloud senden. Verwenden Sie diese Option, wenn Sie eigene Schlüssel mit Ihrem lokalen Schlüsselverwaltungssystem generieren, um Ihren eigenen Schlüssel zu verwenden (BYOK). Wenn Sie eigene Schlüssel mit CSEK bereitstellen, repliziert Google sie und stellt sie Ihren Arbeitslasten zur Verfügung. Die Sicherheit und Verfügbarkeit von CSEK liegt jedoch in Ihrer Verantwortung, da vom Kunden bereitgestellte Schlüssel nicht in Instanzvorlagen oder in der Google-Infrastruktur gespeichert werden. Wenn Sie den Zugriff auf die Schlüssel verlieren, kann Google Sie bei der Wiederherstellung der verschlüsselten Daten nicht unterstützen. Überlegen Sie sich sorgfältig, welche Schlüssel Sie selbst erstellen und verwalten möchten. Sie können CSEK nur für die sensibelsten Informationen verwenden. Eine weitere Option besteht darin, die clientseitige Verschlüsselung Ihrer Daten durchzuführen und die verschlüsselten Daten dann in Google Cloud zu speichern, wo die Daten von Google noch einmal verschlüsselt werden.
  • Schlüsselverwaltungssystem eines Drittanbieters mit Cloud External Key Manager (Cloud EKM) Cloud EKM schützt Ihre inaktiven Daten mit Verschlüsselungsschlüsseln, die in einem Drittanbieterschlüssel gespeichert und verwaltet werden und die Sie außerhalb der Google-Infrastruktur steuern. Mit dieser Methode stellen Sie sicher, dass niemand außerhalb Ihrer Organisation auf Ihre Daten zugreifen kann. Mit Cloud EKM können Sie ein sicheres HYOK-Modell (Bring Your Own Key) für die Schlüsselverwaltung erreichen. Informationen zur Kompatibilität finden Sie in der Liste der aktivierten Cloud EKM-Dienste.

Mit Cloud KMS können Sie Ihre Daten auch mit softwaregestützten Verschlüsselungsschlüsseln oder gemäß FIPS 140-2 Level 3 validierten Hardwaresicherheitsmodulen (HSMs) verschlüsseln. Wenn Sie Cloud KMS verwenden, werden Ihre kryptografischen Schlüssel in der Region gespeichert, in der Sie die Ressource bereitstellen. Cloud HSM verteilt die Anforderungen an Ihre Schlüsselverwaltung auf Regionen und bietet Redundanz und globale Verfügbarkeit von Schlüsseln.

Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter Inaktive Daten in der Google Cloud Platform verschlüsseln.

Auf Inhalte wird zugegriffen. Weitere Informationen finden Sie unter Zugriff auf Cloud-Administratoren auf Ihre Daten steuern.

Zugriff von Cloud-Administratoren auf Ihre Daten steuern

Sie können den Zugriff durch Google-Support- und technisches Personal auf Ihre Umgebung in Google Cloud steuern. Mit der Zugriffsgenehmigung können Sie explizit genehmigen, bevor Google-Mitarbeiter auf Ihre Daten oder Ressourcen in Google Cloud zugreifen. Dieses Produkt ergänzt die Sichtbarkeit, die durch Access Transparency bereitgestellt wird. Logs werden generiert, wenn Google-Mitarbeiter mit Ihren Daten interagieren. Diese Logs enthalten den Bürostandort und den Grund für den Zugriff.

Wenn Sie diese Produkte zusammen verwenden, können Sie Google erlauben, Ihre Daten aus bestimmten Gründen zu entschlüsseln.

Konfigurieren, wo Ihre Daten gespeichert werden und von wo aus Nutzer darauf zugreifen können

Mit VPC Service Controls können Sie die Netzwerkstandorte steuern, von denen Nutzer auf Daten zugreifen können. Mit diesem Produkt können Sie den Zugriff auf Nutzer in einer bestimmten Region beschränken. Sie können diese Einschränkung auch dann erzwingen, wenn der Nutzer gemäß Ihrer Google Cloud IAM-Richtlinie autorisiert ist. Mit VPC Service Controls erstellen Sie einen Dienstperimeter, der die virtuellen Grenzen definiert, von denen auf einen Dienst zugegriffen werden kann, um zu verhindern, dass Daten außerhalb dieser Grenzen verschoben werden.

Hier finden Sie weitere Informationen:

Secrets mit Secret Manager verwalten

Mit Secret Manager können Sie alle Ihre Secrets an einem zentralen Ort speichern. Secrets sind Konfigurationsinformationen wie Datenbankpasswörter, API-Schlüssel oder TLS-Zertifikate. Sie können Secrets automatisch rotieren und Anwendungen so konfigurieren, dass automatisch die neueste Version eines Secrets verwendet wird. Jede Interaktion mit Secret Manager generiert ein Audit-Log, sodass Sie jeden Zugriff auf jedes Secret aufrufen können.

Cloud Data Loss Prevention bietet auch eine Detektorenkategorie, mit der Sie Anmeldedaten und Secrets in Daten identifizieren können, die durch Secret Manager geschützt werden könnten.

Daten überwachen

Verwenden Sie Cloud-Audit-Logs, um Logs zu Administratoraktivitäten und Schlüsselverwendung anzuzeigen. Überwachen Sie zum Schutz Ihrer Daten Logs mit Cloud Monitoring, um die ordnungsgemäße Verwendung Ihrer Schlüssel zu gewährleisten.

Cloud Logging erfasst Google Cloud-Ereignisse und bietet Ihnen die Möglichkeit, bei Bedarf zusätzliche Quellen hinzuzufügen. Sie können Ihre Logs nach Region segmentieren, sie in Buckets speichern und benutzerdefinierten Code für die Verarbeitung von Logs einbinden. Ein Beispiel finden Sie unter Eigene Analyselösung erstellen.

Sie können auch Logs nach BigQuery exportieren, um Sicherheits- und Zugriffsanalysen durchzuführen, um nicht autorisierte Änderungen und unangemessenen Zugriff auf die Daten Ihrer Organisation zu identifizieren.

Mit dem Security Command Center können Sie Probleme mit unsicherem Zugriff auf sensible Organisationsdaten erkennen und beheben, die in der Cloud gespeichert sind. Über eine einzige Verwaltungsoberfläche können Sie nach einer Vielzahl von Sicherheitslücken und Risiken in Ihrer Cloud-Infrastruktur suchen. Sie können beispielsweise die unbefugte Datenweitergabe überwachen, Speichersysteme nach vertraulichen Daten scannen und ermitteln, welche Cloud Storage-Buckets mit dem Internet verbunden sind.

Nächste Schritte

Weitere Informationen zur Datensicherheit finden Sie in den folgenden Ressourcen: