Verstärkung des europäischen Portfolios für Datensouveränität mit Assured Workloads for EU

Sowohl öffentliche als auch private Organisationen in Europa verlagern ihre Betriebsprozesse und Daten zunehmend in die Cloud. Dabei müssen sie darauf vertrauen können, dass ihre Anforderungen bezüglich Sicherheit, Datenschutz und digitaler Souveränität erfüllt werden. Dazu gehört, dass Daten in einer bestimmten europäischen Region gespeichert werden, der Support durch EU-Personal sichergestellt ist und die Möglichkeit besteht, den administrativen Zugriff auf Kundendaten und Schlüssel zu kontrollieren, die zum Schutz der Daten verwendet werden.

Um Google Cloud-Kunden dabei zu unterstützen, diesen Anforderungen gerecht zu werden, ist Assured Workloads for EU nun allgemein verfügbar. Wie bereits in unserem einführenden Blogpost beschrieben, ermöglicht Assured Workloads for EU unseren GCP-Kunden die Initiierung und den Betrieb von Workloads mit folgenden Merkmalen:

• die Datenspeicherung in einer Google Cloud EU-Region ihrer Wahl

• die Beschränkung des Zugriffs durch Mitarbeiter*innen und des Kundensupports in EU-Mitgliedsstaaten

• die kryptographische Kontrolle über den Datenzugriff, einschließlich kundenseitig verwalteter Schlüssel

Sehen wir uns genauer an, wie Cloud-Workloads mit diesen Kontrollfunktionen in der Google Cloud Console konfiguriert werden:

Assured Workloads for EU konfigurieren

Assured Workloads setzt auf der Ordnerebene einer Organisation an und ermöglicht dort die Anwendung bestimmter Kontrollfunktionen und ihre selektive Durchsetzung bei Cloud-Workloads mit Souveränitätsanforderungen. Der erste Schritt zur Erstellung eines Assured Workload-Ordners ist die Bestimmung des Datenspeicherorts:

Nach Auswahl der Option „EU” haben Sie zwei Optionen zur Kontrolle von Assured Workloads:

• „Regionen und Support in der EU”: Mit dieser nun allgemein verfügbaren Option können Kunden die Speicherung ihrer Daten auf EU-Standorte beschränken – und den Support sowie den Zugriff durch Mitarbeiter*innen in EU-Mitgliedsstaaten.

• „EU-Regionen und -Support mit Datenhoheitskontrollen”: Diese Option steht derzeit als Preview zur Verfügung. Sie baut auf die Merkmale der Option „Regionen und Support in der EU” auf und bietet zusätzliche Möglichkeiten zur Souveränitätskontrolle durch die Verschlüsselung von Kundendaten mit extern gespeicherten und verwalteten Schlüsseln. Die aus dem Cloud External Key Manager (EKM) bereitgestellten Schlüssel werden auch genutzt, um Zugriffsgenehmigungen zu signieren.

Als neues Feature bietet die sogenannte signierte Zugriffsgenehmigung eine weitere Sicherheitsebene bei Vorgängen, die durch eine Zugriffsgenehmigung autorisiert sind: eine Plattformkontrolle, welche die explizite Zustimmung des Kunden einholt, bevor ein administrativer Zugriff auf Kundendaten oder -konfigurationen gestattet wird. Sie signiert die von Kunden erteilte Zugriffsgenehmigungen mit einem externen Schlüssel aus ihrem External Key Manager (EKM) und liefert so einen Nachweis dafür, dass die Zugriffsanfrage von einer externen Partei bestätigt wurde. Die signierte Zugriffsgenehmigung steht derzeit für Kundenkonfigurationen zur Verfügung, die externe Schlüsselmanagement-Systeme nutzen. In naher Zukunft wird sie auch für andere externe Schlüsselmanagement-Systeme angeboten, die mit dem EKM integrierbar sind. 

Für Assured Workloads for EU stehen Kunden auf Ordnerebene beide Optionen zur Verfügung, damit sie sowohl flexibel ausgewählte Workloads in EU-Regionen und mit EU-Support betreiben als auch zusätzlich die kryptographische Kontrolle bei Workloads ausüben können, die besondere Anforderungen an die Datensouveränität stellen. In beiden Fällen konfiguriert Assured Workloads die gewählten Kontrollfunktionen automatisch und gewährleistet deren Durchsetzung.

Digitale Souveränität – Kunden haben die Wahl

Assured Workloads for EU ist das neueste Angebot einer ganzen Reihe von Google Cloud-Produkten, mit der wir Software-definierte Community-Clouds anbieten – eine Cloud-Infrastruktur, die von bestimmten Organisationen exklusiv genutzt wird und deren Kontrollfunktionen präzise auf bestimmte rechtliche Anforderungen zugeschnitten sind. Assured Workloads-Angebote sind für Kunden in den USA, in Kanada (Preview-Status) und nun auch in der Europäischen Union verfügbar; weitere Regionen werden folgen.

Auch die Bedürfnisse von Kunden, die zusätzliche Anforderungen an die operationelle Souveränität stellen, um die Unabhängigkeit von Betrieb und Überprüfung dieser Kontrollfunktionen zu gewährleisten, haben wir berücksichtigt: Wie im Zuge unserer Initiative „Cloud. Nach europäischen Maßstäben.“ bekannt gegeben, werden die von Google Cloud betriebenen Cloud-Lösungen auch von vertrauenswürdigen Partnern wie T-Systems in Deutschland oder Minsait in Spanien angeboten. Für viele Organisationen wird die Möglichkeit, Datensouveränitätsanforderungen bei ausgewählten Workloads zu erfüllen, ein bedeutender Schritt auf ihrem Weg zur digitalen Souveränität sein.

Die nächsten Schritte

Assured Workloads für EU-Regionen und mit EU-Support ist nun für Google Compute Engine, Persistent Disk, BigQuery, Google Cloud Storage und Cloud KMS (EKM) allgemein verfügbar. Die Option „EU-Regionen und -Support mit Datenhoheitskontrollen” wird für dieselben Dienste im Preview-Status angeboten. Weitere Informationen zu beiden Angeboten finden Sie in unserer Dokumentation. Wenden Sie sich auch gerne an unser Vertriebsteam, um mehr zu erfahren.