Richtlinienentwurf für Unternehmenskunden

In diesem Artikel wird beschrieben, wie Sie eine Reihe von Richtlinien entwerfen, die Ihrem Unternehmen, einem hypothetischen Unternehmenskunden mit dem Namen EnterpriseExampleOrganization, die Verwendung von Google Cloud ermöglichen.

Unternehmenskunden haben in der Regel eine lange Betriebsgeschichte, die ihre Organisationsstruktur und internen Richtlinien prägt. Durch die Aufnahme mehrerer rechtlicher Einheiten im Rahmen von Akquisitionen, Fusionen oder natürlichem Marktwachstum haben diese Kunden eine anspruchsvolle, komplexe Organisationsstruktur mit vielen Mitarbeitern entwickelt. In einer solch komplexen Umgebung ist es entscheidend, eine zentrale Kontrolle, Compliance und Trennung von Verantwortlichkeiten zu etablieren.

Häufig müssen die zur Verwaltung von lokalen Ressourcen verwendeten Prozesse und Tools um Cloudressourcen erweitert werden. In diesem Artikel lesen Sie, wie Sie Richtlinien entwerfen, mit denen EnterpriseExampleOrganization Google Cloud so verwenden kann, dass folgende Anforderungen erfüllt werden:

  • Es wird ein lokales Identitätssystem für alle EnterpriseExampleOrganization-Nutzer beibehalten.
  • Der Zugriff auf Ressourcen wird auf Mitglieder von EnterpriseExampleOrganization beschränkt.
  • Die Verwaltung der bereitgestellten Google Cloud-Ressourcen wird an Teams oder Abteilungen delegiert.
  • Die übergreifende Belastung wird über die Teams und die von ihnen entwickelten Produkte verteilt.
  • Es wird ein Self-Service-Tool für die Bereitstellung von Geräte- und Rechenressourcenanforderungen und zur Durchsetzung von Unternehmenskontrollen verwendet. Dieses Tool muss auf Google Cloud-Ressourcen erweitert werden.
  • Beschaffungsentscheidungen werden von einem zentralen Finanzteam getroffen.
  • Sicherheits- und Netzwerkfunktionen werden durch ein zentrales Team verwaltet.
  • Die Aktivitäten im Google Cloud-Konto von EnterpriseExampleOrganization werden überwacht.
  • Entwickler können nur die Ressourcen verwenden, die ihnen mit dem Self-Service-Tool gewährt wurden.
  • Das Deployment von QA bis Produktion wird nur durch autorisierte Deployment-Entwickler gesteuert und initiiert.

Governance und Sichtbarkeit

In den folgenden Abschnitten werden verschiedene Google Cloud-Ansätze erläutert, die es möglich machen, dass EnterpriseExampleOrganization die Liste der Anforderungen erfüllt.

Identitätsverwaltung

Behandelte Anforderung an EnterpriseExampleOrganization:

  • Es wird ein lokales Identitätssystem für alle EnterpriseExampleOrganization-Nutzer beibehalten.

Google Cloud nutzt Google-Konten zur Authentifizierung und Zugriffsverwaltung. Voraussetzung für den Zugriff von EnterpriseExampleOrganization-Zugriff auf Google Cloud-Ressourcen ist, dass die Angestellten Zugriff auf eine Google-Identität haben. Da Sie Ihr Identitätssystem zusammen mit Google Cloud verwenden, müssen Sie ein Cloud Identity-Konto einrichten, das mithilfe von Cloud Directory Sync die Synchronisierung von EnterpriseExampleOrganization mit lokalen Identitäten ermöglicht. Außerdem müssen Sie die SAML-Einmalanmeldung (SSO) implementieren, damit die Authentifizierung von Ihrem Identitätssystem verwaltet wird. Weitere Informationen finden Sie unter Authentifizierung und Identität sowie im folgenden Diagramm:

Struktur der Unternehmensstrategie

Cloud Directory Sync

Wenn Sie eine Cloudidentität konfigurieren und Cloud Directory Sync verwenden, können Sie eine Synchronisierung zwischen Ihrem lokalen Identitätssystem und der Cloud vornehmen. Damit erhalten Sie detaillierte Kontrolle über Unternehmensnutzer, denen Sie direkten Zugriff auf Google Cloud-Ressourcen gewähren möchten. Bei diesen Nutzern handelt es sich normalerweise um Entwickler, Data Scientists und Betriebspersonal.

SAML verwenden

Google Cloud unterstützt SAML 2.0 SSO. Dabei ist Google der Dienstanbieter (Service Provider, SP) und eine Drittanbieter-ID der Identitätsanbieter. Dadurch wird gewährleistet, dass die Authentifizierung der Identität an den Identitätsanbieter delegiert wird.

Organisatorische Einrichtung

Behandelte Anforderungen an EnterpriseExampleOrganization:

  • Der Zugriff auf Ressourcen wird auf Mitglieder von EnterpriseExampleOrganization beschränkt.
  • Die Verwaltung der bereitgestellten Google Cloud-Ressourcen wird an Teams oder Abteilungen delegiert.
  • Die übergreifende Belastung wird über die Teams und die von ihnen entwickelten Produkte verteilt.

EnterpriseExampleOrganization erfordert eine zentrale Governance, daher müssen Sie die Organisationsressource implementieren. Dadurch erhalten die Administratoren von EnterpriseExampleOrganization volle Transparenz und Kontrolle über die Assets des Unternehmens.

Wenn eine Organisationsressource vorhanden ist, können Sie Ihre Organisation der Ressourcenhierarchie zuordnen. Als Teil dieser hierarchischen Organisation können Sie Cloud-Ordner als Container für Projekte und andere Ordner verwenden. Cloud-Ordner ermöglichen es Nutzern, Projekte unter Ordnern zu gruppieren, um in großem Maßstab Ressourcen und Richtlinien verwalten zu können.

Das folgende Diagramm gibt einen Überblick über diese Struktur:

Organisatorische Einrichtung

Diese Struktur entspricht der Abteilungsstruktur einer Organisation oder von Tochtergesellschaften unter ihrer Muttergesellschaft. EnterpriseExampleOrganization kann auch Ordner verwenden, um alle Projekte und Assets zu kapseln, die mit einer Kostenstelle, einer Abteilung oder einem Anwendungsprojekt verknüpft sind.

Mit Cloud-Ordnern können Sie Zugriffsverwaltungsrichtlinien auf Ordnerebene verwalten. Alle Projekte unter diesem Ordner erben diese Richtlinie.

Organisatorische Sicherheitsfunktionen

Behandelte Anforderungen an EnterpriseExampleOrganization:

  • Der Zugriff auf Ressourcen wird auf Mitglieder von EnterpriseExampleOrganization beschränkt.
  • Die Aktivitäten im Google Cloud-Konto von EnterpriseExampleOrganization werden überwacht.
  • Es wird ein Self-Service-Tool für die Bereitstellung von Geräte- und Rechenressourcenanforderungen und zur Durchsetzung von Unternehmenskontrollen verwendet. Dieses Tool muss auf Google Cloud-Ressourcen erweitert werden.
  • Sicherheits- und Netzwerktools werden durch ein zentrales Team verwaltet.
  • Entwickler können nur die Ressourcen verwenden, die ihnen mit dem Self-Service-Tool gewährt wurden.
  • Das Deployment von QA bis Produktion wird nur durch autorisierte Deployment-Entwickler gesteuert und initiiert.

Der Dienst für Organisationsrichtlinien bietet eine zentrale, programmgesteuerte Kontrolle über die Cloudressourcen von EnterpriseExampleOrganization. Der Dienst bietet einen einfachen Mechanismus zum Erzwingen zulässiger Konfigurationen innerhalb der gesamten Cloud-Ressourcenhierarchie. In diesem Zusammenhang beziehen sich Richtlinien auf Organisationsrichtlinien, mit denen Sie die Konfiguration von Cloudressourcen auf Organisationsebene steuern können.

Organisationsrichtlinien haben folgende Vorteile:

  • Sie lassen sich pro Projekt, Ordner oder Organisation festlegen.
  • Richtlinien werden von den übergeordneten Elementen in der Ressourcenhierarchie übernommen, können aber von einem Richtlinienadministrator auf jeder Ebene, auf der eine Organisationsrichtlinie festgelegt werden kann, überschrieben werden.
  • Verwaltet werden die Richtlinien nicht vom Ressourceninhaber, sondern vom Administrator für Organisationsrichtlinien. Dies hat zur Folge, dass einzelne Nutzer und Projektinhaber keine Organisationsrichtlinien überschreiben können.

Ressourcensteuerung

Sie können Organisationsrichtlinien implementieren, um die Verfügbarkeit bestimmter Ressourcen innerhalb einer Google Cloud-Vertrauensgrenze (Ordner, Projekt oder andere Organisationsebene) zu erzwingen.

  • Mit Identity and Access Management (IAM) können Sie die Zugriffssteuerung verwalten. Sie legen fest, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat. Sie können Nutzern Rollen zuweisen, indem Sie IAM-Richtlinien erstellen. Dabei handelt es sich um eine Sammlung von Anweisungen, mit denen festgelegt wird, wer welche Art von Zugriff erhält. Richtlinien werden mit einer Ressource verbunden und erfordern eine Zugriffssteuerung, wenn auf diese Ressource zugegriffen wird.
  • Resource Manager ermöglicht das Zuweisen und Übernehmen von Zugriffssteuerungs- und Organisationsrichtlinien. Über die Resource Manager API können Sie mit der Organisation, den Ordnern und Projekten interagieren.
  • In jedem Fall müssen Sie sorgfältig überlegen, welche Zugriffskontrollen eingerichtet werden sollen, wer Zugriff benötigt und in welchem Fall das Prinzip der geringsten Rechte angewendet werden soll.

Mit Cloud Deployment Manager können Sie automatisch Projekte mit den entsprechenden Ressourcen und IAM-Richtlinien erstellen. Sie können die Vorlagen als Teil eines Self-Service-Systems verwenden.

Funktionale Rollen

Sie müssen die funktionalen Rollen von EnterpriseExampleOrganization den entsprechenden IAM-Rollen zuordnen.

Durch die Verwendung von Gruppen zur Verwaltung der Nutzer können Sie ändern, wer eine bestimmte Funktion ausüben kann. Durch das Anpassen der Gruppenmitgliedschaft kann auf eine Aktualisierung der Richtlinie verzichtet werden. Benennen Sie die Gruppen unter Verwendung der EnterpriseExampleOrganization-Terminologie so, dass die Namen die funktionalen Rollen wiedergeben.

Da Sie zum Aktivieren von APIs und Bereitstellen von Deployment Manager-Vorlagen das Self-Service-Tool verwenden, benötigen Sie Dienstkonten mit entsprechenden Berechtigungen.

Die folgenden Beispiele für IAM-Richtlinien können das Unternehmen EnterpriseExampleOrganization bei der Erfüllung der Anforderungen unterstützen:

Beschreibung der IAM-Richtlinie Funktionsweise
Ressourcenebene, auf der die Richtlinie angewendet werden soll: Organisation

Zu gewährende Rollen: Abrechnungsadministrator

Gilt für: Finanzteam
Mit der Rolle Abrechnungsadministrator kann das Finanzteam Zahlungen und Rechnungen verwalten, ohne dass ihm Berechtigungen zum Anzeigen der Projektinhalte erteilt werden.
Ressourcenebene, auf der die Richtlinie gewährt werden soll: Organisation

Zu gewährende Rollen: Abrechnungsnutzer, Projektersteller

Gilt für: Dienstkonto, das zur Automatisierung der Projekt- und Objekterstellung verwendet wird.
Die Rolle Projektersteller gibt dem mit dem Self-Service-Tool verwendeten Dienstkonto die Berechtigung zum Erstellen eines Projekts. Die Rolle Abrechnungsnutzer ermöglicht dem Dienstkonto die Aktivierung der Abrechnung (Verknüpfen von Projekten mit dem Rechnungskonto der Organisation für alle Projekte in der Organisation).
Ressourcenebene, auf der die Richtlinie angewendet werden soll: Organisation

Zu gewährende Rollen: Netzwerkadministrator

Gilt für: Netzwerkadministrator-Team
Mit der Rolle Netzwerkadministrator werden Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen erteilt. Die Erteilung dieser Berechtigung an das Netzwerkverwaltungsteam auf Organisationsebene bedeutet, dass das Team die Netzwerkkonfiguration für alle Projekte in der Organisation verwaltet.

Audit

Cloud Audit Logging bietet Einblicke in die letzten Audit-Logs. Erfasst werden die Logs der Administratoraktivitäten und Datenzugriffe, die von Google Cloud-Diensten generiert wurden, um die Frage zu beantworten: "Wer hat was, wo und wann getan?"

Sie können einzelne Audit-Log-Einträge für einen bestimmten Zeitraum in Cloud Logging. Dort sehen Sie in einer Dashboard-Ansicht die letzten Projektaktivitäten. Die Kontingentrichtlinie für Logging legt fest, wie lange Logeinträge aufbewahrt werden. Audit-Logs oder deren Einträge können jedoch weder gelöscht noch geändert werden. Für eine längere Aufbewahrungsdauer können Sie Audit-Log-Einträge in einen Cloud Storage-Bucket, ein BigQuery-Dataset, ein Pub/Sub-Thema oder eine beliebige Kombination der drei exportieren.

Tracking und Ausgabenübersicht

Behandelte Anforderungen an EnterpriseExampleOrganization:

  • Beschaffungsentscheidungen werden von einem zentralen Finanzteam getroffen.
  • Die übergreifende Belastung wird über die Teams und die von ihnen entwickelten Produkte verteilt.

Zum Erfüllen der Anforderungen von Cloud Resource Manager reicht ein einzelnes Abrechnungskonto in Verbindung mit Cloud Resource Manager und Abrechnungsfunktionen aus. Die Abrechnungsfunktionen umfassen Folgendes:

  • Projekte zur Organisation von Ressourcen. Die Kosten werden pro Projekt angezeigt und der Abrechnungsexport enthält Projekt-IDs.
  • Annotation von Projekten mit Labels, die zusätzliche Gruppierungsinformationen darstellen– z. B. environment=test. Labels sind im Abrechnungsexport enthalten, damit Sie die Kosten detaillierter aufschlüsseln können. Obgleich sich Labels mitunter ändern, sind sie dennoch nützlich.
  • Codierung einer Kostenstelle in Project Name oder ID, um die Rückverfolgung der Kosten auf die Kostenstelle zu erleichtern.
  • Export von Abrechnungsdaten direkt nach BigQuery für eine detaillierte Analyse.

Das folgende Diagramm zeigt ein einzelnes Rechnungskonto, das in Verbindung mit Resource Manager implementiert wurde.

Grafik: Rechnungsstruktur

Sie müssen dem Abrechnungskonto die Rolle Abrechnungsadministrator zuweisen und diese IAM-Rolle an die Nutzer im Finanzteam binden, um die Abrechnung zentral zu verwalten.

Vorschlag für Organisations- und Identitätsverwaltungsrichtlinien

Das folgende Diagramm zeigt die vorgeschlagenen Organisationsrichtlinien für EnterpriseExampleOrganization.

Organisationsrichtlinie

Im obigen Diagramm gibt es fünf Schlüsselmerkmale:

  1. Organisationsrichtlinie zur Durchsetzung von Einschränkungen und der Compliance.

  2. Ordner für Rechtspersönlichkeiten und Abteilungen werden verrechnet.

  3. Projekte für Teams und Apps.

  4. Vorhandene Unternehmensidentitäten werden entweder über Identitätssynchronisierung oder Einmalanmeldung verwendet.

  5. Es werden vorab Gruppen zur Verwaltung von IAM-Berechtigungen erstellt.

Netzwerkkonfiguration und Sicherheitsfunktionen

Behandelte Anforderungen an EnterpriseExampleOrganization:

  • Sicherheits- und Netzwerkfunktionen werden durch ein zentrales Team verwaltet.

EnterpriseExampleOrganization hat ein zentrales Team, das Sicherheits- und Netzwerkkontrollen verwaltet, und möchte dieses Modell bei der Verwendung von Google Cloud beibehalten. Das Team benötigt zuverlässige und sichere Verbindungen zu Google Cloud von seinem Büro aus. Cloud Interconnect bietet Verbindungen mit höherer Verfügbarkeit oder geringerer Latenzzeit oder beidem, als mit herkömmlichen Internetverbindungen erreicht werden könnten.

Shared VPC

Mithilfe von Shared VPC können Sie gemeinsam genutzte Netzwerkressourcen wie VPC-Netzwerke und Subnetze von einem zentralen Hostprojekt aus verwalten. Diese Ressourcen sind auch für andere Projekte zugänglich. Diese Einrichtung und die zugehörigen IAM-Funktionen erleichtern die Verwaltung des zentralen Netzwerks.

Shared VPC bietet Ihnen die Möglichkeit, ein VPC-Netzwerk wie etwa einen gemeinsamen privaten IP-Adressbereich gemäß RFC 1918 zu verwenden, der mehrere Projekte abdeckt. Sie können diesem VPC-Netzwerk oder dessen Subnetzen Instanzen eines beliebigen Projekts hinzufügen. Sie können ein VPN auch mit einem einzelnen VPC-Netzwerk verbinden, das allen oder einem Teil der Projekte zur Verfügung steht.

Shared VPC bietet die folgenden Funktionen:

  • Getrenntes Festlegen einer Reihe von zentralisierten Netzwerkadministratoren neben Projektadministratoren.
  • Festlegen einer Gruppe von Administratoren für die Verwaltung der freigegebenen VPC mithilfe von IAM-Funktionen.
  • Vereinfachtes Erstellen separater Administratorgruppen. Die Administratoren für jedes Google Cloud-Projekt können Instanzen im VPC-Netzwerk erstellen und verwenden.
  • Einbinden des Netzwerkadministrators in ein zentralisiertes Team, während Nutzer in unterschiedlichen Abteilungen von EnterpriseExampleOrganization das VPC-Netzwerk oder Subnetz gemeinsam verwenden können.
  • Zentrale Verwaltung von Netzwerkressourcen wie IP-Adressen, Subnetzen und so weiter.
  • Anwenden und Erzwingen einheitlicher Richtlinien innerhalb der gesamten Organisation.
  • Der Netzwerkadministrator kann allgemeine Firewallregeln, Gateways, Sicherheitsrichtlinien und NAT definieren und auf alle Subnetze anwenden. Diese Richtlinien müssen nicht separat für jedes einzelne Projekt definiert und verwaltet werden.

Netzwerksicherheitsfunktionen

Behandelte Anforderungen an EnterpriseExampleOrganization:

  • Entwickler können nur die Ressourcen verwenden, die ihnen mit dem Self-Service-Tool gewährt wurden.
  • Sicherheits- und Netzwerkfunktionen werden durch ein zentrales Team verwaltet.
  • Das Deployment von QA bis Produktion wird nur durch autorisierte Deployment-Entwickler gesteuert und initiiert.

EnterpriseExampleOrganization möchte Assets auf sichere und zeitlich geplante Weise aus den Testumgebungen direkt in ihren Produktionsumgebungen erstellen. Das hier beschriebene Netzwerkmodell berücksichtigt die Forderung nach geeigneten Sicherheitsfunktionen.

Organisatorische Sicherheitsfunktionen wurden in einem früheren Abschnitt diskutiert. Die Kombination aus diesen und den netzwerkspezifischen Sicherheitsfunktionen erfüllt die in diesem Abschnitt genannten Anforderungen.

IAM-Netzwerkrollen

Sie müssen geeignete Netzwerk- und Sicherheitsfunktionen von IAM implementieren, um die Anforderungen von EnterpriseExampleOrganization zu erfüllen.

Funktionsweise Beschreibung der erforderlichen IAM-Richtlinien
Ein zentrales Team verwaltet Netzwerk- und Sicherheitsfunktionen. Alle Projekte verwenden dasselbe Netzwerk.
  • Richten Sie gemäß Best Practices eine Gruppe mit den Identitäten der Nutzer ein, die für die zentrale Verwaltung des Netzwerks und der Sicherheitsfunktionen zuständig sind. Verwenden Sie diese Gruppe in den IAM-Richtlinien, die erforderlich sind, um diese Anforderung zu erfüllen.
  • Durch die Verwendung von Shared VPC haben Sie die Möglichkeit, zentralisierte Teams für die Verwaltung von Netzwerkkonfigurationen zuzuordnen.
  • Weisen Sie der Gruppe die Rollen Netzwerkadministrator und Shared VPC-Administrator (XPNAdmin) auf der Organisationsebene der Cloudressourcenhierarchie zu. Durch zusätzliches Zuweisen der Rolle Sicherheitsadministrator auf Organisationsebene an diese Administratorengruppe gewähren Sie den Mitgliedern die für die Verwaltung von Firewallregeln und SSL-Zertifikaten erforderlichen Berechtigungen.
Projekte werden mit einem Self-Service-Tool erstellt Diese Funktion erfordert ein dediziertes Projekt, in dem das Dienstkonto vorhanden ist, das Projekte erstellen kann.

Auch das Self-Service-Tool verwendet dieses Dienstkonto. Gewähren Sie dem Dienstkonto die Rollen Abrechnungsnutzer und Projektersteller auf Organisationsebene.

Separate Teams können die verschiedenen Serviceprojekte verwalten, sodass Sie Entwicklungs-, Test- und Produktionsprojekte trennen können.

Das folgende Diagramm zeigt das einfachste Modell, das die zentralen Steuerungsanforderungen von EnterpriseExampleOrganization erfüllt. Das gleiche Team kann die Entwicklungs- und Produktions-VPC-Netzwerke verwalten.

Architektur der zentralen Steuerungsanforderungen

Firewallregeln

Firewallregeln dienen zur Verwaltung des Traffics zwischen Quell- und Zielsubnetzen und/oder Instanzen, die mit einem Tag gekennzeichnet sind oder bestimmte Dienstkonten verwenden. Diese Regeln stellen die erforderlichen Kontrollen bereit, um zu gewährleisten, dass zwischen den Entwicklungs-, Test- und Produktionsumgebungen genügend Schranken vorhanden sind.

Verweise

Anforderung Verweise
Identitätsverwaltung
Organisatorische Einrichtung
Abrechnung
Netzwerk- und Sicherheitsfunktionen

Weitere Informationen