In diesem Dokument des Google Cloud-Architektur-Frameworks finden Sie Best Practices zum Schutz Ihres Netzwerks.
Die Erweiterung Ihres vorhandenen Netzwerks auf Cloud-Umgebungen hat viele Auswirkungen auf die Sicherheit. Ihr lokaler Ansatz für mehrschichtige Verteidigungen umfasst wahrscheinlich einen eindeutigen Perimeter zwischen dem Internet und Ihrem internen Netzwerk. Den Perimeter schützen Sie wahrscheinlich mit Mechanismen wie physischen Firewalls, Routern und Intrusion Detection Systems. Da die Grenze klar definiert ist, können Sie auf Eindringvorgänge überwachen und entsprechend reagieren.
Wenn Sie die Cloud entweder vollständig oder in einem hybriden Ansatz nutzen, begeben Sie sich über den lokalen Perimeter hinaus. In diesem Dokument wird beschrieben, wie Sie die Daten und Arbeitslasten Ihrer Organisation in Google Cloud weiter schützen können. Wie Sie unter Risiken mit Kontrollen verwalten lesen können, hängt die Einrichtung und Sicherung Ihres Google Cloud-Netzwerks von Ihren Geschäftsanforderungen und Ihrer Risikobereitschaft ab.
In diesem Abschnitt wird davon ausgegangen, dass Sie den Abschnitt Netzwerk in der Kategorie Systemdesign gelesen und bereits eine grundlegendes Architekturdiagramm Ihrer Google Cloud-Netzwerkkomponenten erstellt haben. Ein Beispieldiagramm finden Sie unter Hub-and-Spoke.
Zero-Trust-Netzwerke bereitstellen
Durch den Wechsel in die Cloud muss sich das Vertrauensmodell Ihres Netzwerks ändern. Da sich Ihre Nutzer und Ihre Arbeitslasten nicht mehr hinter Ihrem lokalen Perimeter befinden, können Sie den Perimeterschutz nicht mehr auf die gleiche Weise verwenden, um ein vertrauenswürdiges, internes Netzwerk zu erstellen. Das Zero-Trust-Sicherheitsmodell bedeutet, dass niemand standardmäßig vertrauenswürdig ist, unabhängig davon, ob er sich innerhalb oder außerhalb des Netzwerks Ihrer Organisation befindet. Beim Überprüfen von Zugriffsanfragen erfordert das Zero-Trust-Sicherheitsmodell sowohl eine Prüfung auf die Identität als auch auf den Kontext des Nutzers. Im Gegensatz zu einem VPN verschieben Sie die Zugriffssteuerungen vom Netzwerkperimeter auf die Nutzer und Geräte.
In Google Cloud können Sie BeyondCorp Enterprise als Zero-Trust-Lösung verwenden. BeyondCorp Enterprise bietet Bedrohungs- und Datenschutz sowie zusätzliche Zugriffssteuerungen. Weitere Informationen zur Einrichtung finden Sie unter Erste Schritte mit BeyondCorp Enterprise.
Neben BeyondCorp Enterprise enthält Google Cloud auch Identity-Aware Proxy (IAP). Mit IAP können Sie die Zero-Trust-Sicherheit auf Ihre Anwendungen sowohl in Google Cloud als auch lokal erweitern. IAP verwendet Zugriffssteuerungsrichtlinien, um Nutzern, die auf Ihre Anwendungen und Ressourcen zugreifen, eine Authentifizierung und Autorisierung bereitzustellen.
Sichern Sie die Verbindungen zu Ihren lokalen bzw. Multi-Cloud-Umgebungen.
Viele Organisationen haben Arbeitslasten sowohl in Cloud-Umgebungen als auch in lokalen Umgebungen. Für Ausfallsicherheit verwenden einige Organisationen Multi-Cloud-Lösungen. In diesen Szenarien ist es wichtig, die Verbindung zwischen allen Umgebungen zu sichern.
Google Cloud umfasst private Zugriffsmethoden für VMs, die vonCloud VPN oder Cloud Interconnect unterstützt werden. Dazu gehören folgende:
- Verwenden Sie Cross-Cloud Interconnect als verwalteten Dienst, um Ihre VPC-Netzwerke über direkte Hochgeschwindigkeitsverbindungen direkt mit anderen unterstützten Cloud-Anbietern zu verbinden. Bei Cross-Cloud Interconnect müssen Sie keinen eigenen Router bereitstellen und nicht mit einem Drittanbieter zusammenarbeiten.
- Verwenden Sie Dedicated Interconnect und Partner Interconnect, um Ihre VPC-Netzwerke über direkte Hochgeschwindigkeitsverbindungen mit Ihrem lokalen Rechenzentrum oder mit anderen Cloud-Anbietern zu verbinden.
- Verwenden Sie IPSec-VPNs, um Ihre VPC-Netzwerke (Virtual Private Cloud) mit Ihrem lokalen Rechenzentrum oder mit anderen Cloud-Anbietern zu verbinden.
- Verwenden Sie Private Service Connect-Endpunkte für den Zugriff auf veröffentlichte Dienste, die von Ihrer Organisation oder von einem anderen Anbieter bereitgestellt werden.
- Verwenden Sie Private Service Connect-Endpunkte, damit Ihre VMs über interne IP-Adressen auf Google APIs zugreifen können. Mit Private Service Connect müssen Ihre VMs keine externen IP-Adressen haben, um auf Google-Dienste zugreifen zu können.
- Wenn Sie GKE Enterprise nutzen, sollten Sie Egress-Gateways von Anthos Service Mesh in Betracht ziehen. Wenn Sie GKE Enterprise nicht nutzen, werden Sie eine Drittanbieteroption verwenden.
Einen Vergleich zwischen den Produkten finden Sie unter Netzwerkverbindungsprodukt auswählen.
Standardnetzwerke deaktivieren
Wenn Sie ein neues Google Cloud-Projekt erstellen, werden ein VPC-Standardnetzwerk von Google Cloud mit IP-Adressen im automatischen Modus und vorkonfigurierte Firewallregeln automatisch bereitgestellt. Für Produktionsbereitstellungen empfehlen wir, die Standardnetzwerke in vorhandenen Projekten zu löschen und in neuen Projekten die Erstellung von Standardnetzwerken zu deaktivieren.
Mit Virtual Private Cloud-Netzwerken können Sie jede interne IP-Adresse verwenden. Um Konflikte mit IP-Adressen zu vermeiden, empfehlen wir, dass Sie zuerst die Netzwerk- und IP-Adresszuweisung für Ihre verbundenen Bereitstellungen und Ihre Projekte planen. Ein Projekt lässt mehrere VPC-Netzwerke zu, aber es ist normalerweise Best Practice, diese Netzwerke auf ein Netzwerk pro Projekt zu beschränken, um die Zugriffssteuerung effektiv zu erzwingen.
Perimeter sichern
In Google Cloud können Sie Ihren Cloud-Perimeter mithilfe verschiedener Methoden segmentieren und sichern, einschließlich Firewalls und VPC Service Controls.
Sie können eine freigegebene VPC verwenden, um ein Produktionsbereitstellung zu erstellen, die Ihnen ein einzelnes freigegebenes Netzwerk bietet und Arbeitslasten in einzelnen Projekten isoliert, die von verschiedenen Teams verwaltet werden können. Eine freigegebene VPC bietet eine zentralisierte Bereitstellung, Verwaltung und Steuerung der Netzwerk- und Netzwerksicherheitsressourcen über mehrere Projekte hinweg. Eine freigegebene VPC besteht aus Host- und Dienstprojekten, die die folgenden Funktionen ausführen:
- Ein Hostprojekt enthält die netzwerk- und sicherheitsbezogenen Ressourcen wie VPC-Netzwerke, Subnetze, Firewallregeln und Hybridkonnektivität.
- Ein Dienstprojekt wird an ein Hostprojekt angehängt. So können Sie Arbeitslasten und Nutzer auf Projektebene mithilfe von Identity and Access Management (IAM) isolieren, während die Netzwerkressourcen im zentral verwalteten Hostprojekt geteilt werden.
Definieren Sie Firewallrichtlinien und -regeln auf Organisations-, Ordner- und VPC-Netzwerkebene. Sie können Firewallregeln konfigurieren, um den Traffic von oder zu VM-Instanzen zuzulassen oder zu verweigern. Beispiele finden Sie unter Beispiele für globale und regionale Netzwerk-Firewallrichtlinien und Beispiele für hierarchische Firewallrichtlinien. Neben der Definition von Regeln anhand von IP-Adressen, Protokollen und Ports können Sie auch Traffic verwalten und Firewallregeln auf Basis des Dienstkontos anwenden, das von einer VM-Instanz oder mithilfe von sicheren Tags verwendet wird.
Ziehen Sie VPC Service Controls in Betracht, um die Verschiebung von Daten in Google-Diensten zu steuern und die kontextbasierte Perimetersicherheit einzurichten. VPC Service Controls bietet eine zusätzliche Sicherheitsebene für Google Cloud-Dienste, die unabhängig von IAM- und Firewallregeln und -Richtlinien ist. Mit VPC Service Controls können Sie beispielsweise Perimeter zwischen vertraulichen und nicht vertraulichen Daten einrichten, um Kontrollen anzuwenden, die eine Daten-Exfiltration verhindern.
Mit Google Cloud Armor-Sicherheitsrichtlinien können Sie den Zugriff auf Ihren externen Application Load Balancer am Google Cloud-Rand so nahe wie möglich an der Quelle des eingehenden Traffics zulassen, sperren oder weiterleiten. Diese Richtlinien verhindern, dass unerwünschter Traffic Ressourcen verbraucht oder in Ihr Netzwerk gelangt.
Verwenden Sie Secure Web Proxy, um detaillierte Zugriffsrichtlinien auf Ihren ausgehenden Webtraffic anzuwenden und den Zugriff auf nicht vertrauenswürdige Webdienste zu überwachen.
Netzwerkverkehr prüfen
Sie können das Cloud Intrusion Detection System (Cloud IDS) und die Paketspiegelung verwenden, um für die Sicherheit und Compliance von Arbeitslasten zu sorgen, die in Compute Engine und Google Kubernetes Engine (GKE) ausgeführt werden.
Verwenden Sie Cloud IDS, um Einblick in den ein- und ausgehenden Traffic Ihrer VPC-Netzwerke zu erhalten. Cloud IDS erstellt ein von Google verwaltetes Peering-Netzwerk, das gespiegelte VMs hat. Die Bedrohungsschutz-Technologien von Palo Alto Networks spiegeln den Traffic wider und prüfen ihn. Weitere Informationen finden Sie unter Cloud IDS – Übersicht.
Bei der Paketspiegelung wird der Traffic bestimmter VM-Instanzen in Ihrem VPC-Netzwerk geklont und zur Erfassung, Aufbewahrung und Prüfung weitergeleitet. Nachdem Sie die Paketspiegelung konfiguriert haben, können Sie den Netzwerktraffic mithilfe von Cloud IDS oder Drittanbietertools im großen Maßstab erfassen und prüfen. Die Prüfung des Netzwerkverkehrs auf diese Weise erleichtert die Angriffserkennung und das Monitoring der Anwendungsleistung.
Webanwendungs-Firewall verwenden
Für externe Webanwendungen und Dienste können Sie Google Cloud Armor aktivieren, um DDoS-Schutz (Distributed Denial of Service) und WAF-Funktionen (Web Application Firewall) bereitzustellen. Google Cloud Armor unterstützt Google Cloud-Arbeitslasten, die über externes HTTP(S)-Load-Balancing, TCP-Proxy-Load-Balancing oder SSL-Proxy-Load-Balancing verfügbar gemacht werden.
Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Managed Protection Plus: Damit Sie die fortgeschrittenen Google Cloud Armor-Funktionen nutzen können, sollten Sie für Ihre wichtigsten Arbeitslasten in Managed Protection Plus investieren.
Infrastrukturbereitstellung automatisieren
Durch Automatisierung können Sie eine unveränderliche Infrastruktur erstellen, das heißt, sie kann nach der Bereitstellung nicht mehr geändert werden. Diese Maßnahme bietet Ihrem operativen Team einen gut funktionierenden Status sowie schnelle Rollbacks und Fehlerbehebungsfunktionen. Zur Automatisierung können Sie Tools wie Terraform, Jenkins und Cloud Build verwenden.
Damit Sie eine Umgebung mit Automatisierung erstellen können, bietet Google Cloud eine Reihe von Sicherheits-Blueprints, die wiederum auf dem Blueprint zu Unternehmensgrundlagen basieren. Der Blueprint zu den Sicherheitsgrundlagen bietet Googles Design für eine sichere Anwendungsumgebung und beschreibt Schritt für Schritt, wie Sie Ihre Google Cloud-Infrastruktur konfigurieren und bereitstellen. Mithilfe der Anweisungen und der Skripts, die Teil des Blueprints für die Sicherheitsgrundlagen sind, können Sie eine Umgebung konfigurieren, die unseren Best Practices und Richtlinien für die Sicherheit entspricht. Sie können auf diesen Blueprint mit zusätzlichen Blueprints aufbauen oder Ihre eigene Automatisierung entwerfen.
Weitere Informationen zur Automatisierung finden Sie unter CI/CD-Pipeline für Datenverarbeitungsworkflows verwenden.
Netzwerk überwachen
Überwachen Sie Ihr Netzwerk und Ihren Traffic mithilfe von Telemetrie.
VPC-Flusslogs und Firewallregel-Logging bieten nahezu in Echtzeit Einblick in den Traffic und die Firewallnutzung in Ihrer Google Cloud-Umgebung finden Sie weitere Informationen. Beispiel: Das Logging von Firewallregeln protokolliert den Traffic von und zu Compute Engine-VM-Instanzen. Wenn Sie diese Tools mit Cloud Logging und Cloud Monitoring kombinieren, können Sie den Traffic verfolgen, melden und visualisieren. Mit Zugriffsmustern verbessern Sie außerdem die Betriebssicherheit Ihrer Bereitstellung.
Mit Firewall Insights können Sie prüfen, welche Firewallregeln mit eingehenden und ausgehenden Verbindungen übereinstimmen und ob die Verbindungen zugelassen oder abgelehnt wurden. Mit dem Feature für verdeckte Regeln können Sie Ihre Firewall-Konfiguration optimieren. Sie prüfen, welche Regeln nie ausgelöst werden, da eine andere Regel immer zuerst ausgelöst wird.
Im Network Intelligence Center können Sie die Leistung Ihrer Netzwerktopologie und Architektur einsehen. Sie erhalten detaillierte Informationen zur Netzwerkleistung und können Ihre Bereitstellung dann optimieren, um Engpässe in Ihrem Dienst zu vermeiden. Konnektivitätstests bieten Einblicke in die Firewallregeln und -richtlinien, die auf den Netzwerkpfad angewendet werden.
Weitere Informationen zum Monitoring finden Sie unter Logging- und Erkennungskontrollen implementieren.
Nächste Schritte
Weitere Informationen zur Netzwerksicherheit finden Sie in den folgenden Ressourcen:
- Datensicherheit implementieren (nächstes Dokument in dieser Reihe)
- Best Practices und Referenzarchitekturen für das VPC-Design
- IAM-Rollen für die Verwaltung von VPC Service Controls
- Als Security Command Center-Partner anmelden
- Sicherheitslücken und Bedrohungen im Security Command Center ansehen
- Packet Mirroring: Visualize and protect your cloud network
- Paketspiegelung für die Einbruchserkennung verwenden
- Paketspiegelung mit einer Partner-IDS-Lösung verwenden