Verbessern Sie die Security Ihrer Google Cloud

Was 1998 als einfache Suchmaschine begann, ist heute eines der umsatzstärksten und wertvollsten Unternehmen der Welt. Google bietet mit Android das meistverbreitete Smartphone-Betriebssystem, ist dank Google Maps führend im Bereich Navigation und stellt mit der Google Cloud eine leistungsfähige Lösung bereit, um der steigenden Datenflut in Zeiten von Digitalisierung und Smart Factory zu begegnen. Doch wie sicher ist die Google Cloud Platform -- insbesondere angesichts des Rufs, den Google als Datensammler genießt? Und was können Sie selbst tun, um die Sicherheit Ihrer Google Cloud zu gewährleisten? Ergänzend empfiehlt sich der Best-Practice-Leitfaden von Google.

Ähnlich wie Amazon oder Microsoft bietet auch Google eine eigene Cloud-Computing-Plattform (GCP) mit umfassenden Sicherheitsfunktionen. Dennoch liegt die Absicherung der eigenen Anwendungen immer auch in der Verantwortung der Nutzer. Folgende Maßnahmen stehen Ihnen dabei zur Verfügung:

Die eigenen Zugangsdaten sichern

Verlorene oder gestohlene Zugangsdaten zählen zu den häufigsten Ursachen für Sicherheitsvorfälle -- bei Cloud-Systemen ebenso wie bei allen anderen digitalen Anwendungen. Starke Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA) schaffen hier wirksame Abhilfe. Dabei werden zwei oder mehr unabhängige Berechtigungsnachweise kombiniert. Typische MFA-Szenarien sind etwa die Eingabe eines Passworts zusammen mit einer Sicherheitsfrage oder der Download eines gültigen Zertifikats in Verbindung mit dem Zugriff über einen VPN-Client.

Selbst die besten technischen Maßnahmen sind jedoch nur so wirksam, wie der Faktor Mensch es zulässt. Achten Sie daher darauf, dass Zugangsdaten niemals an Dritte weitergegeben oder frei zugänglich gespeichert werden.

Übermäßige Berechtigungen vermeiden

Verfügt eine Identität über zu weitreichende Rechte, kann sie sich direkt oder indirekt auf die Besitzerebene eines Buckets befördern -- also eines Containers, in dem Daten als Objekte gespeichert werden. Mit dieser Berechtigungsstufe lassen sich administrative Entscheidungen treffen, die nicht nur die Sicherheit der GCP, sondern unter Umständen die des gesamten Unternehmens gefährden. So könnte eine solche Identität beispielsweise sämtliche Daten oder sogar den gesamten Bucket löschen. Umso wichtiger ist es, die effektiven Berechtigungen aller GCP-Identitäten zu kennen -- unabhängig davon, ob es sich um menschliche oder maschinelle Identitäten handelt. Nur so lässt sich die Integrität Ihrer Daten zuverlässig sicherstellen.

Risikofaktor API minimieren

Der Datenaustausch mit externen Systemen -- etwa von Lieferanten -- ist heute unverzichtbar. Um die damit verbundenen Prozesse schlank zu halten, werden neue Systeme häufig in bestehende Softwarelandschaften integriert. Cloudbasierte Webservices bieten dafür Schnittstellen zum Datenaustausch mit Drittanbietern. Allerdings dienen genau diese APIs immer wieder als Einfallstor für Angriffe von außen. Google setzt deshalb alles daran, sichere APIs bereitzustellen und solche Angriffe weitestgehend auszuschließen.

Auch Sie selbst können zur Sicherheit beitragen: In der GCP dienen API-Schlüssel als eine Form der Authentifizierung und Autorisierung beim Aufruf bestimmter API-Endpunkte. Da API-Schlüssel direkt an GCP-Projekte gebunden sind, gelten sie als weniger sicher als OAuth-2.0-Client-Anmeldeinformationen oder benutzerverwaltete Schlüssel für Servicekonten. Überwachen Sie daher sämtliche Assets und Ressourcen, sobald diese erstellt, aktualisiert oder gelöscht werden.

Logging und Monitoring aktivieren

Stellen Sie unbedingt sicher, dass die Protokollierungs- und Überwachungsfunktionen aktiviert sind -- denn fehlende Protokollierung zählt zu den häufigsten Sicherheitsmängeln. Die von der GCP bereitgestellten Protokolle und Telemetriedaten lassen sich individuell aktivieren, konfigurieren und fortlaufend überwachen. Idealerweise benennen Sie eine feste Ansprechperson im Unternehmen, die für die Auswertung und Kennzeichnung sicherheitsrelevanter Ereignisse verantwortlich ist.

Admin-Aktivitätsprotokolle überwachen

Um die eigenen Daten wirksam zu schützen, benötigen Unternehmen einen umfassenden Überblick über die Benutzeraktivitäten. Nur so lassen sich Account-Kompromittierungen und andere Risiken frühzeitig erkennen. Mit den richtigen Werkzeugen können Sie Benutzerprofile effektiv nachverfolgen. Die GCP zeichnet API- und andere Admin-Aktivitäten in Stackdriver Admin Activity Logs auf und erfasst weitere Datenzugriffsaktivitäten in Data Access Logs. Überwachen Sie diese Protokolle regelmäßig, um jederzeit zu wissen, was mit Ihren GCP-Ressourcen geschieht. Die Plattform speichert diese Protokolle über ein Jahr lang. Wenn Sie diese für regulatorische oder rechtliche Zwecke länger aufbewahren möchten, sollten Sie sie regelmäßig exportieren.

Lebenszyklen von virtuellen Maschinen verwalten

Erstellen Sie benutzerdefinierte Images, die entweder gepatcht oder aus Sicherheits- und Compliance-Sicht freigegeben wurden, und verweigern Sie nicht genehmigten Images den Zugriff mithilfe einer Ressourcenmanager-Einschränkung. Dieser Ansatz ist besonders sinnvoll, da herkömmliche Netzwerk-Schwachstellen-Scanner zwar für lokale Netzwerke effektiv sind, bei Cloud-Netzwerken jedoch häufig entscheidende Schwachstellen übersehen. Entfernen Sie darüber hinaus veraltete Images, um sicherzustellen, dass stets das aktuellste VM-Image zum Einsatz kommt. Das hält Ihre Anwendung zugleich schlank und performant.

Diese Maßnahmen zeigen: Sie können -- und sollten -- selbst aktiv zur Sicherheit Ihrer Google Cloud beitragen. Die GCP erfüllt von Haus aus hohe Sicherheitsstandards, doch Sicherheit bleibt eine gemeinsame Verantwortung, der sich alle Beteiligten bewusst sein sollten.