Verbessern Sie die Security Ihrer Google Cloud

Was damals, 1998, als einfach Suchmaschine startete, ist inzwischen eines der umsatzstärksten und wertvollsten Unternehmen der Welt. Google bietet heute mit Android das weit verbreitetste Smartphone-Betriebssystem der Welt, ist dank Google Maps führend in Sachen Navigation und bietet mit der Google Cloud auch eine eigene Lösung, um der steigenden Datenflut in Zeiten von Digitalisierung und Smart Factory Herr zu werden. Aber wie sicher ist die Google Cloud Plattform, gerade weil das Unternehmen einen Ruf als Datenkrake hat? Was kann man selbst tun, um die Security der Google Cloud sicherzustellen? Ein Best-Practice-Leitfaden von Google selbst ist auch empfehlenswert.

Ähnlich wie Amazon oder Microsoft bietet auch Google eine eigene Cloud-Computing-Plattform (GCP). Wie diese beiden bietet auch die GCP Security – sehr umfassend. Allerdings liegt die Sicherheit der eigenen Anwendungen auch immer ein Stück weit beim Anwender. Folgende Optionen haben die Anwender dabei:

Die eigenen Zugangsdaten sichern

Verlorene oder gestohlene Zugangsdaten sind eine der Hauptursachen von Sicherheitsproblemen. Das gilt für Cloud Systeme wie für alle anderen digitalen Anwendungen. Mit starken Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA) lässt sich vorbeugen. Dabei werden zwei oder mehr unabhängige Berechtigungsnachweise kombiniert. Typische MFA-Szenarien sind zum Beispiel die Eingabe eines Passworts und einer zusätzlichen Sicherheitsfrage oder der Download eines gültigen Zertifikats und den Zugriff über einen VPN-Client. Die besten Maßnahmen sind aber immer nur so gut, wie die menschliche Komponente es zulässt. Heißt: Mitarbeiter sollten darauf achten, die eigenen Zugangsdaten nicht an Dritte weiterzugeben oder sie frei zugänglich abzuspeichern.

Übermäßige Berechtigungen vermeiden

Wenn eine Identität übermäßige Rechte hat, kann sie sich direkt oder indirekt in die Besitzerebene eines Buckets (=Container, in denen Daten in Form von Objekten gespeichert werden) befördern. Mit dieser Berechtigungsstufe hat sie die Möglichkeit, administrative Entscheidungen zu treffen, die die Security der GCP, wenn nicht sogar die des gesamten Unternehmens gefährden können. Die Identität ist beispielsweise in der Lage alle Daten und sogar den ganzen Bucket zu löschen. Die effektiven Berechtigungen (=End-to-End-Berechtigungen) aller GCP-Identitäten zu kennen, ist unabhängig davon, ob es sich um menschliche oder nicht-menschliche Personen handelt essenziell, um die Integrität der eigenen Daten sicherzustellen.

Risikofaktor API minimieren

Der Austausch mit anderen Systemen, z. B. von Lieferanten ist heute unerlässlich. Um die damit verbundenen Prozesse einfach und übersichtlich zu halten werden neue Systeme gerne in bestehende Softwarelandschaften integriert. Cloudbasierte Webservices verfügen daher oftmals über Schnittstellen für den Datenaustausch mit Drittanbietern. Allerdings dienen diese APIs immer wieder als Einfallstor und sind daher anfällig für Angriffe von außen. Die GCP Security setzt daher alles daran, den Kunden sichere APIs bereitzustellen, um Angriffe dieser Art weitestgehend auszuschließen. Der Anwender kann hier aber auch selbst zur Sicherheit beitragen: In der GCP sind API-Schlüssel eine Form der Authentifizierung und Autorisierung, die beim Aufruf bestimmter API-Endpunkte in der Cloud verwendet werden können. API-Schlüssel sind direkt an GCP-Projekte gebunden und gelten daher als weniger sicher als OAuth 2.0-Client-Anmeldeinformationen oder Benutzer-verwaltete Schlüssel für Servicekonten. Alle Assets und Ressourcen sollten überwacht werden, wenn sie erstellt, aktualisiert oder gelöscht werden.

Logging und Monitoring aktivieren

Die Verantwortlichen sollten unbedingt sicherstellen, dass sie die Protokollierungs- und Überwachungsfunktionen aktivieren. Darin besteht nämlich einer der häufigsten Mängel in Sachen Sicherheit. Die von der GCP bereitgestellten Protokolle und Telemetriedaten lassen sich individuell aktivieren, konfigurieren und im späteren Verlauf monitoren. Idealerweise gibt es eine fixe Ansprechperson im Unternehmen, deren Verantwortung die Kennzeichnung sicherheitsrelevanter Ereignisse ist.

Admin-Aktivitätsprotokolle überwachen

Vor dem Hintergrund der Sicherheit der eigenen Daten benötigen Unternehmen einen Überblick über die Benutzeraktivitäten. So lassen sich Account-Kompromittierungen und andere Risiken aufzudecken. Glücklicherweise können Unternehmen mit dem Einsatz der richtigen Technologien Benutzerprofile effektiv tracken. Die GCP zeichnet API- und andere Admin-Aktivitäten in Stackdriver Admin Activity Logs auf und erfasst andere Datenzugriffsaktivitäten in Data Access Logs. Daher empfiehlt sich die Überwachung von Admin-Aktivitätsprotokollen, um zu wissen, was mit den eigenen GCP-Ressourcen vor sich geht. Diese Protokolle werden von der Plattform über ein Jahr lang gespeichert, wer diese für regulatorische oder rechtliche Zwecke länger aufbewahren möchte, sollte sie regelmäßig exportieren.

Lebenszyklen von virtuellen Maschinen verwalten

Anwender können ein benutzerdefiniertes Image, das entweder gepatcht oder aus Sicherheits- oder Compliance-Sicht abgesegnet wurde erstellen, und nicht benutzerdefinierten Images mithilfe einer Ressourcenmanager-Einschränkung den Zugriff verweigern. Dies ergibt Sinn, da herkömmliche Netzwerk-Schwachstellen-Scanner sehr effektiv für lokale Netzwerke sind, aber oftmals entscheidende Schwachstellen übersehen, wenn sie zum Testen von Cloud-Netzwerken verwendet werden. Zusätzlich bietet es sich an, veraltete Images zu entfernen, um sicherzustellen, dass auch wirklich das neueste und beste VM-Image verwendet wird. Abgesehen bleibt die Anwendung damit schlank und performant.

Diese aufgeführten Ansatzpunkte zeigen, dass jeder selbst seinen Beitrag leisten kann (wenn nicht sogar muss), um für die eigene Google Cloud Security zu sorgen. Die Security von GCP entspricht natürlich hohen Anforderungen, allerdings ist Sicherheit auch eine gemeinsame Verantwortung, der sich jeder bewusst sein sollte.