In diesem Dokument des Google Cloud-Architektur-Frameworks werden Best Practices zur Verwaltung von Risiken in einer Cloud-Bereitstellung beschrieben. Durch eine sorgfältige Analyse der Risiken, die für Ihre Organisation gelten, können Sie die erforderlichen Sicherheitskontrollen ermitteln. Sie sollten die Risikoanalyse durchführen, bevor Sie Arbeitslasten in Google Cloud bereitstellen. Außerdem sollten Sie diese regelmäßig wiederholen, da sich Ihre geschäftlichen Anforderungen, die gesetzlichen Vorschriften und die für Ihre Organisation relevanten Bedrohungen ändern.
Risiken für Ihre Organisation erkennen
Bevor Sie Ressourcen in Google Cloud erstellen und bereitstellen, führen Sie eine Risikobewertung durch, um zu ermitteln, welche Sicherheitsmaßnahmen Sie benötigen, um Ihre internen Sicherheitsanforderungen und externe gesetzliche Anforderungen zu erfüllen. Die Risikobewertung liefert eine Auflistung aller relevanten Risiken und Informationen dazu, in welchem Maße Ihr Unternehmen in der Lage ist, Sicherheitsbedrohungen zu erkennen und ihnen entgegenzuwirken.
Die Risiken in einer Cloudumgebung unterscheiden sich von den Risiken in einer lokalen Umgebung aufgrund der Vereinbarung zur geteilten Verantwortung, die Sie mit Ihrem Cloudanbieter eingehen. In einer lokalen Umgebung müssen Sie beispielsweise Sicherheitslücken im Hardware-Stack minimieren. Im Gegensatz dazu werden diese Risiken in einer Cloudumgebung vom Cloudanbieter übernommen.
Darüber hinaus unterscheiden sich Ihre Risiken je nachdem, wie Sie Google Cloud verwenden möchten. Übertragen Sie einige Ihrer Arbeitslasten in Google Cloud – oder alle? Verwenden Sie Google Cloud nur für die Notfallwiederherstellung? Richten Sie eine Hybrid-Cloud-Umgebung ein?
Wir empfehlen die Verwendung eines branchenüblichen Frameworks zur Risikobewertung für Cloud-Umgebungen, dass die jeweils geltenden gesetzlichen Vorschriften berücksichtigt. Beispielsweise bietet die Cloud Security Alliance (CSA) die Cloud Controls Matrix (CCM). Darüber hinaus gibt es Bedrohungsmodelle wie das OWASP-App-Bedrohungsmodell, die potenzielle Sicherheitslücken und Vorschläge zur Behebung dieser Lücken bereitstellen. In unserem Partnerverzeichnis finden Sie eine Liste der Experten, die Risikobewertungen für Google Cloud ausführen.
Wenn Sie Ihre Risiken katalogisieren möchten, sollten Sie den Risiko-Manager in Betracht ziehen, der Teil des Risiko-Schutzprogramms ist. Dieses Programm befindet sich derzeit in der Vorschau. Risk Manager scannt Ihre Arbeitslasten, damit Sie die Geschäftsrisiken besser nachvollziehen können. Die detaillierten Berichte bieten eine Sicherheitsreferenz. Darüber hinaus können Sie mithilfe von Risk Manager-Berichten Ihre Risiken mit den in der CIS-Benchmark (Center for Internet Security) beschriebenen Risiken vergleichen.
Nachdem Sie die Risiken katalogisiert haben, müssen Sie festlegen, wie Sie auf diese reagieren möchten, d. h. ob Sie sie akzeptieren, vermeiden, übertragen oder minimieren möchten. Im folgenden Abschnitt werden Sicherheitskontrollen zur Risikominderung beschrieben.
Risiken minimieren
Sie können Risiken mithilfe von technischen Kontrollen, vertraglichen Schutzmaßnahmen sowie Prüfungen oder Attestierungen von Drittanbietern minimieren. In der folgenden Tabelle ist aufgeführt, wie Sie diese Abhilfemaßnahmen für die Einführung neuer öffentlicher Cloud-Dienste verwenden können.
| Risikominderung | Beschreibung |
|---|---|
| Technische Steuerelemente | Technische Steuerelemente beziehen sich auf die Funktionen und Technologien, mit denen Sie Ihre Umgebung schützen. Dazu gehören integrierte Cloud-Sicherheitskontrollen wie Firewalls und Logging. Technische Kontrollen können auch die Verwendung von Drittanbietertools umfassen, um Ihre Sicherheitsstrategie zu stärken oder zu unterstützen. Es gibt zwei Kategorien technischer Steuerelemente:
|
| Vertraglicher Schutz | Vertragliche Schutzmaßnahmen beziehen sich auf die rechtlichen Verpflichtungen, die wir in Bezug auf Google Cloud-Dienste eingehen. Google Cloud setzt sich für die Erhaltung und Erweiterung des Compliance-Portfolios ein. Im Dokument Zusatz zur Verarbeitung von Cloud-Daten ist festgelegt, dass wir unsere Zertifizierungen nach ISO 27001, 27017 und 27018 beibehalten und unsere Berichte zu SOC 2 und SOC 3 alle 12 Monate aktualisieren. Das DPST-Dokument beschreibt außerdem die Zugriffssteuerungen, die den Zugriff durch Entwickler des Google-Supports auf die Umgebungen von Kunden beschränken, und beschreibt unser strenges Logging und einen Genehmigungsprozess. Wir empfehlen Ihnen, die vertraglichen Kontrollen von Google Cloud mit Ihren Rechts- und Regulierungsexperten zu prüfen und zu bestätigen, dass sie Ihren Anforderungen entsprechen. Wenn Sie weitere Informationen benötigen, wenden Sie sich an Ihren technischen Kundenbetreuer. |
| Überprüfungen oder Bescheinigungen von Drittanbietern | Überprüfungen oder Bescheinigungen von Drittanbietern beziehen sich darauf, dass ein Drittanbieter den Cloud-Anbieter prüft, um sicherzustellen, dass der Anbieter die Compliance-Anforderungen erfüllt. Google wurde beispielsweise von einem Drittanbieter auf die Einhaltung der ISO 27017 geprüft. Die aktuellen Google Cloud-Zertifizierungen und -Bescheinigungen finden Sie im Center für Compliance-Ressourcen. |
Nächste Schritte
Weitere Informationen zum Risikomanagement finden Sie in den folgenden Ressourcen:
- Assets verwalten (nächstes Dokument in dieser Reihe)
Risiko-Governance für den digitalen Wandel in der Cloud (PDF)