Gemeinsame Verantwortung bei Assured Workloads

Auf dieser Seite wird die gemeinsame Verantwortung bei Assured Workloads beschrieben. Allgemeine Informationen zur geteilten Verantwortung in Google Cloudfinden Sie unter Geteilte Verantwortung und Fate-Sharing in Google Cloud.

Geteilte Verantwortung für Daten

Sie sind der Experte für die Sicherheits- und behördlichen Anforderungen an Ihr Unternehmen und für die Anforderungen zum Schutz vertraulicher Daten und Ressourcen. Wenn Sie Ihre Arbeitslasten in Google Cloudausführen, müssen Sie die Sicherheitskontrollen ermitteln, die Sie in Google Cloud konfigurieren müssen, um Ihre vertraulichen Daten und jede Arbeitslast zu schützen. Um zu entscheiden, welche Sicherheitskontrollen implementiert werden sollen, müssen Sie die folgenden Faktoren berücksichtigen:

  • Die für Sie geltenden gesetzlichen Vorschriften
  • Sicherheitsstandards und Risikomanagementplan Ihrer Organisation
  • Sicherheitsanforderungen Ihrer Kunden und Anbieter

Der Schutz Ihrer Daten hat beim Entwurf aller Google-Betriebsabläufe in den Bereichen Infrastruktur, Produkte und Personal eine sehr hohe Priorität. Google Cloud bietet eine hohe Sicherheit für viele Datentypen, einschließlich Kundendaten und Dienstdaten. Wenn Ihre Arbeitslasten jedoch bestimmten behördlichen Anforderungen entsprechen oder nationalen Standards unterliegen, die erhöhte Sicherheitsmaßnahmen erfordern, können Ihre internen Richtlinien von den Standardkonfigurationsoptionen abweichen. Wenn Sie solche Anforderungen haben, empfehlen wir Ihnen, zusätzliche Tools und Verfahren zu verwenden, um die erforderliche Compliance aufrechtzuerhalten und Ihr Team in die Lage zu versetzen, die Best Practices für die Datenverwaltung und die allgemeine Verwaltung der Internetsicherheit zu befolgen.

Google Cloud Assurred Workloads für die geteilte Verantwortung konfigurieren

Die folgenden Bereiche sind Kundenpflichten als Nutzer einer öffentlichen Cloud:

  • Sie sollten wissen, für welche Teile Ihrer Daten unterschiedliche Compliance- und Sicherheitsanforderungen gelten. Die meisten Cloud-Kunden haben eine IT-Infrastruktur, für die allgemeine kommerzielle Sicherheit erforderlich ist. Einige Kunden haben jedoch spezifische Daten, z. B. Gesundheitsdaten, für die strengere Compliance-Anforderungen gelten. Assured Workloads kann Ihnen dabei helfen, diese höheren Compliance-Anforderungen zu erfüllen. Speichern Sie alle sensiblen oder regulierten Daten mit bestimmten Zugriffs- oder Speicheranforderungen in den entsprechenden Assured Workloads-Ordnern oder ‑Projekten und belassen Sie sie dort.
  • Konfigurieren Sie die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), damit nur die entsprechenden Personen auf die Inhalte Ihrer Organisation zugreifen und sie ändern können.
  • Erstellen und organisieren Sie Ihre Organisationshierarchie so, dass keine personenbezogenen Daten offengelegt werden.
  • Sie haben sich alle Dokumentationen durchgelesen, um die Best Practices zu verstehen und zu befolgen.
  • Geben Sie Informationen bei technischen Supportsitzungen und bei der Fehlerbehebung mit Bedacht weiter und speichern oder teilen Sie keine sensiblen oder regulierten Daten außerhalb von Ordnern für konforme Assured Workloads.

Der Umfang vertraulicher oder regulierter Daten kann je nach vielen Faktoren variieren, einschließlich der Bestimmungen, denen Sie oder Ihre Kunden unterliegen. Dazu gehören:

  • Kontoinformationen
  • Zustandsinformationen
  • Personenbezogene Kennungen für Kunden oder Nutzer
  • Karteninhaberdaten
  • Ausweisnummern

Verantwortlichkeiten von Google im Modell der geteilten Verantwortung

Im Rahmen der Partnerschaft mit gemeinsamer Verantwortung zwischen Google und Kunden trägt Google die Verantwortung für die grundlegenden Elemente und die Infrastruktur für den Aufbau eines erfolgreichen Cloud-Geschäfts. Für einige davon müssen Kunden ihre Verantwortung wahrnehmen undGoogle Cloud konfigurieren, um ihre Daten angemessen zu schützen. Beispiele für die Verantwortlichkeiten von Google:

  • Standardverschlüsselung und Infrastrukturkontrollen anwenden
  • Durchsetzen der von Ihnen festgelegten IAM-Richtlinien, um die Verwaltung von Arbeitslasten und den Datenzugriff auf die von Ihnen angegebenen Identitäten einzuschränken.
  • Konfigurieren und Erzwingen aller vom Kunden ausgewählten Assured Workloads-Kontrollen, die mit der ausgewählten Compliance-Regelung verknüpft sind, für die geschützten Datentypen in den Ressourcen, für die sie konfiguriert wurden. Dazu gehören Einschränkungen, wo Daten gespeichert werden und welche Google-Mitarbeiter im Rahmen ihrer geschäftlichen Aktivitäten auf Ihre Daten zugreifen dürfen.
  • Bereitstellung von Konfigurationen und Steuerelementen über Assured Workloads für regulierte Branchen und standortbezogene Daten.
  • Mit Organisationsrichtlinien und Ressourceneinstellungen können Sie Richtlinien in Ihrer Hierarchie von Ordnern und Projekten konfigurieren.
  • Policy Intelligence-Tools mit Informationen zum Zugriff auf Konten und Ressourcen.

Konfiguration für Europa und die EU

Wenn Kunden Assured Workloads für EU-Regionen oder Sovereign Controls für die EU verwenden, haben sie zusätzlich zu den DSGVO-Zusicherungen auf Google Cloud zusätzliche technische Steuerelemente, mit denen sie ihre Datenspeicherorte und Sicherheitskontrollen im Rahmen ihrer Compliance-Bemühungen anpassen können. Zu diesen Steuerelementen gehören:

  • Eine EU-Datengrenze, wie unter Datenstandort beschrieben.
  • Supportanfragen an in der EU ansässige Personen an EU-Standorten weiterleiten, einschließlich Auftragsverarbeiter
  • Übersicht über Anfragen und Zugriffe für den Administratorzugriff
  • Richtlinienbasierte Zugriffsgenehmigungen (nur für souveräne Kontrollen)
  • Benutzerdefinierte Optionen für die Datenverschlüsselung und Schlüsselverwaltung

Beispiele für gängige Felder, die für sensible oder regulierte Daten nicht empfohlen werden

Wir empfehlen allen regulierten und souveränen Kunden dringend, beim Eingeben von Daten in Google Cloud Dienste vorsichtig zu sein. Es ist wichtig, dass Sie keine sensiblen oder regulierten Daten in allgemeine Eingabefelder einfügen, die möglicherweise nicht durch technische Kontrollen geschützt sind oder nicht in den technischen Kontrollbereich für „Sichere Arbeitslasten“ fallen. Diese Maßnahme ist erforderlich, um die Einhaltung der gesetzlichen Vorgaben zu gewährleisten und Ihre vertraulichen oder regulierten Daten zu schützen. Zur Unterstützung haben wir eine Liste mit Beispielen aus verschiedenen Google Cloud Diensten zusammengestellt, bei denen besondere Vorsicht geboten ist.

Geben Sie Ihre sensiblen oder regulierten Daten nicht in die folgenden gängigen Felder ein:

  • Ressourcennamen und IDs
  • Projekt- oder Ordnernamen und ‑IDs
  • Beschreibungsfelder oder Labels
  • Logbasierte Messwerte
  • VM-Größen und ähnliche Dienstkonfigurationen
  • URIs oder Dateipfade
  • Zeitstempel
  • Nutzer-IDs
  • Firewallregeln
  • Konfigurationen für Sicherheitsscans
  • IAM-Richtlinien für Kunden

Nächste Schritte