Vier Best Practices für Datenschutz und Sicherheit in Cloud Storage

Mit Cloud Storage können Unternehmen ihre Kosten und den operativen Aufwand reduzieren, schneller skalieren und von weiteren Vorteilen des Cloud-Computing profitieren. Gleichzeitig müssen sie Anforderungen hinsichtlich Datenschutz und Sicherheit nachkommen und deshalb den Zugriff auf ihre Daten einschränken und vertrauliche Informationen schützen. 

Wenn Unternehmen ihre Daten in die Cloud migrieren, ist das Thema Sicherheit immer ein großes Anliegen. Daher hat sie für all unsere Produkte oberste Priorität. Mit Cloud Storage können Unternehmen beliebige Datenmengen jederzeit einfach, zuverlässig und kostengünstig speichern und abrufen. Für Sicherheit sorgen dabei integrierte Funktionen wie Verschlüsselung während der Übertragung und Verschlüsselung inaktiver Daten sowie eine Reihe von Verwaltungsoptionen für Verschlüsselungsschlüssel. Dazu gehören von Google verwaltete Schlüssel, von Kundinnen und Kunden bereitgestellte bzw. verwaltete Schlüssel sowie Hardwaresicherheitsmodule. Google besitzt und unterhält eines der größten privaten Netzwerke der Welt. Bei Verwendung von Cloud Storage kommen Ihre Daten deshalb so wenig wie möglich dem öffentlichen Internet ausgesetzt.

Best Practices für den Schutz Ihrer Daten mit Cloud Storage

Für den Schutz gespeicherter Unternehmensdaten vor zukünftigen Bedrohungen und neuen Gefahren ist eine gewisse Vorausplanung erforderlich. Neben den Grundlagen bietet Cloud Storage verschiedene Sicherheitsfeatures wie den einheitlichen Zugriff auf Bucket-Ebene, Dienstkonto-HMAC-Schlüssel, IAM-Bedingungen, Delegierungs-Tokens und V4-Signaturen. 

Wir möchten Ihnen im Folgenden einige Best Practices zum Thema Sicherheit vorstellen, die Ihnen dabei behilflich sein können, auch große Mengen von Daten mithilfe dieser Features zu schützen: 

1. Mit Organisationsrichtlinien die Kontrolle zentralisieren und Vorgaben definieren

In Cloud Storage gilt wie bei Google Cloud eine bestimmte Ressourcenhierarchie. Buckets enthalten Objekte, die mit Projekten verknüpft sind, welche wiederum Organisationen zugeordnet sind. Sie können auch Ordner verwenden, um Projektressourcen weiter zu trennen. Organisationsrichtlinien sind Einstellungen, die Sie auf Organisations-, Ordner- oder Projektebene konfigurieren können, um dienstspezifische Verhaltensweisen zu erzwingen.

Wir empfehlen die Aktivierung der folgenden beiden Organisationsrichtlinien: 

• Domaineingeschränkte Freigabe: Diese Richtlinie verhindert, dass Inhalte für Personen außerhalb des Unternehmens freigegeben werden. Wenn Sie beispielsweise versuchen würden, den Inhalt eines Buckets für das öffentliche Internet verfügbar zu machen, würde der Vorgang durch diese Richtlinie unterbunden werden. 

• Einheitlicher Zugriff auf Bucket-Ebene: Mit dieser Richtlinie können Sie Berechtigungen vereinfachen und die Zugriffssteuerung im großen Maßstab verwalten. Dabei wird für alle neu erstellten Buckets eine einheitliche Zugriffssteuerung auf Bucket-Ebene konfiguriert, die den Zugriff auf alle zugrunde liegenden Objekte regelt. 

2. Die Zugriffssteuerung mit Cloud IAM vereinfachen

Cloud Storage bietet zwei Systeme, um Berechtigungen zum Zugriff auf Ihre Buckets und Objekte zu erteilen: Cloud IAM und Access Control Lists (ACLs). Damit jemand auf eine Ressource zugreifen kann, reicht es, wenn über eines dieser Systeme die entsprechenden Berechtigungen gewährt werden. 

Über ACLs gewähren Sie auf Objektebene Zugriff auf einzelne Objekte. Wenn die Anzahl der Objekte in einem Bucket zunimmt, steigt auch der Aufwand für die Verwaltung der ACLs. Das macht es schwierig herauszufinden, wie sicher die Objekte in einem Bucket sind. Es ist praktisch unmöglich, Millionen von Objekten durchzugehen, um zu prüfen, ob eine bestimmte Nutzerin oder ein Nutzer die korrekten Zugriffsberechtigungen hat. 

Wir empfehlen Cloud IAM zur Steuerung des Zugriffs auf Ihre Ressourcen. Cloud IAM bietet einen Google Cloud-weiten, plattformorientierten, einheitlichen Mechanismus, mit dem Sie die Zugriffssteuerung für Ihre Cloud Storage-Daten verwalten können. Wenn Sie den einheitlichen Zugriff auf Bucket-Ebene aktivieren, werden Objekt-ACLs deaktiviert und der Zugriff wird über Cloud IAM-Richtlinien auf Bucket-Ebene verwaltet. Damit gelten auf Bucket-Ebene gewährte Berechtigungen automatisch für alle Objekte in einem Bucket.

3. Weitere Alternativen zu ACLs, falls IAM-Richtlinien keine Option sind

Wir wissen, dass manche Kundinnen und Kunden aus verschiedenen Gründen ACLs weiterhin verwenden, z. B. für Multi-Cloud-Architekturen oder zur Freigabe eines Objekts für einzelne Nutzerinnen und Nutzer. Sie sollten jedoch keine Objekt-ACLs für Endnutzer:innen verwenden. 

Wir empfehlen stattdessen eine der folgenden Alternativen:

• Signierte URLs: Darüber können Sie einen zeitlich beschränkten Zugriff auf Ihre Cloud Storage-Ressourcen delegieren. Wenn Sie eine signierte URL erstellen, enthält deren Abfragestring Authentifizierungsinformationen, die mit einem Konto mit Zugriffsberechtigung verknüpft sind (z. B. einem Dienstkonto). Sie können beispielsweise jemandem eine URL senden, um dieser Person Lesezugriff auf ein Dokument zu gewähren. Dieser Zugriff wird nach einer Woche widerrufen. 

• Separate Buckets: Prüfen Sie Ihre Buckets und achten Sie dabei auf Zugriffsmuster. Wenn Sie feststellen, dass eine Gruppe von Objekten dieselben Objekt-ACLs aufweist, könnten Sie diese in einen separaten Bucket verschieben und den Zugriff auf Bucket-Ebene steuern. 

• IAM-Bedingungen: Wenn in Ihrer Anwendung für die Objektbenennung gemeinsame Präfixe verwendet werden, könnten Sie IAM-Berechtigungen verwenden, um auf dieser Grundlage Zugriffsrechte zuzuweisen.

• Delegierungs-Tokens: Sie können STS-Tokens verwenden, um einen zeitlich begrenzten Zugriff auf Cloud Storage-Buckets und gemeinsame Präfixe zu gewähren.

4. HMAC-Schlüssel für Dienstkonten, aber nicht für die Konten von Nutzerinnen und Nutzern verwenden

Ein HMAC-Schlüssel (Hash-based Message Authentication Code) ist ein Anmeldedatentyp, der verwendet wird, um Signaturen zu erstellen, die bei Anfragen an Cloud Storage mitgesendet werden. Generell sollten Sie HMAC-Schlüssel nur für Dienstkonten und nicht für die Konten von Nutzerinnen und Nutzern einsetzen. Dadurch vermeiden Sie die mit den Konten einzelner Nutzer:innen verbundenen Datenschutz- und Sicherheitsrisiken. Außerdem verringern Sie das Risiko von Dienstzugriffsausfällen, da die Konten von Nutzerinnen und Nutzern deaktiviert werden können, wenn die betreffende Person aus dem Projekt aussteigt oder das Unternehmen verlässt.  

Für noch mehr Sicherheit empfehlen wir folgende Maßnahmen:

• Ändern Sie die Schlüssel regelmäßig gemäß einer Richtlinie zur Schlüsselrotation.

• Gewähren Sie Dienstkonten nur die minimal notwendigen Zugriffsberechtigungen, um eine Aufgabe zu erledigen (Prinzip der geringsten Berechtigung). 

• Legen Sie angemessene Ablaufzeiten fest, falls Sie noch V2-Signaturen verwenden, oder migrieren Sie zu V4-Signaturen, die automatisch für maximal eine Woche gelten. 

Weitere Informationen zu Cloud Storage und den Möglichkeiten, Ihre Daten zu schützen und dabei alle rechtlichen Vorgaben einzuhalten, finden Sie in der Cloud Storage-Dokumentation unter Übersicht über die Zugriffssteuerung. Zusätzlich finden Sie unserer Breakout-Session im Rahmen der Google Cloud Next 2020 weitere Informationen zu diesem Thema.