Sicherheit in der Google Cloud Platform

Google-Sicherheitsmodell

Das Sicherheitsmodell von Google ist ein auf über 15 Jahren Erfahrung aufbauender Prozess, der alle Aspekte der Nutzung von Gmail, Google-Suche und anderen Google-Anwendungen berücksichtigt, mit denen die Sicherheit der Nutzer und ihrer Daten gewährleistet wird. Die Google Cloud Platform sorgt dafür, dass sich Ihre Anwendungen und Daten eben dieses Sicherheitsmodell zunutze machen. Weitere Informationen über unser Sicherheitsmodell finden Sie in den folgenden Dokumenten: Whitepaper zur Sicherheit bei Google, Übersicht über das Sicherheitsdesign der Infrastruktur von Google, Inaktive Daten in der Google Cloud Platform verschlüsseln, Verschlüsselung bei der Übertragung in Google Cloud und Application Layer Transport Security (ALTS – Transportsicherheit für die Anwendungsschicht).

GCP-Sicherheit – Überblick von Niels Provos

Team für Informationssicherheit

Im Mittelpunkt des Sicherheitsmodells von Google steht das Team für Informationssicherheit, das aus führenden Experten für Informations-, Anwendungs- und Netzwerksicherheit besteht. Zu den Aufgaben dieses Teams gehören die Pflege der Verteidigungssysteme des Unternehmens, die Entwicklung von Prozessen zur Sicherheitsprüfung, der Aufbau der Sicherheitsinfrastruktur sowie die Implementierung der Sicherheitsrichtlinien von Google. Das Team kann sich einige wichtige Erfolge auf die Fahnen schreiben, wie z. B. die Entdeckung der Heartbleed-Sicherheitslücke, die Einrichtung eines Prämienprogramms für die Meldung von Softwaresicherheitsproblemen und die Implementierung einer "SSL als Standard"-Richtlinie bei Google.

Weitere Informationen zu unserem Team für Informationssicherheit

Physische Sicherheit der Rechenzentren

In Google-Rechenzentren wird mit einem mehrschichtigen Sicherheitsmodell gearbeitet, bei dem eigens entwickelte elektronische Zugangskarten, Alarme, Fahrzeugschranken, Umzäunungen, Metalldetektoren, biometrische Verfahren und weitere Sicherheitsvorkehrungen zum Einsatz kommen. In den Rechenzentrumsgebäuden werden zur Erkennung von unautorisiertem Eindringen Laserstrahlen eingesetzt.

Unsere Rechenzentren werden rund um die Uhr von hochauflösenden Innen- und Außenkameras überwacht, die Eindringlinge erkennen und verfolgen können. Falls es zu einem Sicherheitsvorfall kommt, werden Zugangsprotokolle, Aktivitätsdatensätze und Kameraaufzeichnungen überprüft. In Rechenzentren patrouillieren ferner routinemäßig erfahrene Sicherheitskräfte, die strenge Zuverlässigkeitsüberprüfungen und Schulungen absolviert haben. Weniger als ein Prozent aller Google-Mitarbeiter hat jemals Zutritt zu einem unserer Rechenzentren.

Weitere Informationen zur physischen Sicherheit von Rechenzentren

Sicherheit von Server- und Softwarestacks

Bei Google sind Zehntausende identischer, nach unseren Vorgaben gebauter Server im Einsatz. Bei allen unseren Entwicklungen spielt die Sicherheit eine entscheidende Rolle, sei es bei Hardware und Netzwerken oder bei individuellen Linux-Softwarestacks. Homogenität in Kombination mit der Kontrolle über den gesamten Stack sorgt für eine geringere Angriffsfläche und ermöglicht ein schnelleres Reagieren auf Bedrohungen.

Weitere Informationen über die Sicherheit von Servern und des Softwarestacks

Trusted Server Boot

Die einzige Möglichkeit, den Bootvorgang eines Servers zu schützen, besteht darin, diesen mit einer Entität zu sichern, die sich zuverlässig immer auf die erwartete Weise verhält. Google hat hierfür einen maßgeschneiderten Sicherheitschip mit dem Namen Titan entwickelt, um für diesen Vertrauensanker zu sorgen. Titan ermöglicht die Verifizierung der Firmware- und Softwarekomponenten des Systems und richtet eine solide, als Hardware verankerte Systemidentität ein.

Weitere Informationen über Trusted Server Boot und Titan

Datenzugriff

Bei Google sind Kontrollmechanismen und Vorgaben im Einsatz, die für die Sicherheit der Kundendaten vor unbefugtem Zugriff und Verlust sorgen. Die verschiedenen Schichten des Anwendungs- und Speicherstacks von Google erfordern die Authentifizierung und Autorisierung von Anfragen, die von anderen Komponenten stammen. Der Zugriff von Entwicklern, die für die Administration der Produktionsumgebungen zuständig sind, wird ebenfalls kontrolliert. Zur Definition und Kontrolle des Zugangs von Entwicklern zu Produktionssystemen kommt ein zentrales Gruppen- und Rollenverwaltungssystem zum Einsatz, das die Techniker anhand von kurzlebigen Zertifikaten für persönliche öffentliche Schlüssel authentifiziert. Die Ausgabe persönlicher Zertifikate ist wiederum durch eine Bestätigung in zwei Schritten geschützt.

Weitere Informationen zum Datenzugriff

Datenvernichtung

Alle Laufwerke mit Kundendaten, die Google aus seinen Systemen ausmustert, werden einem Datenvernichtungsprozess unterzogen, bevor sie das Google-Gelände verlassen. Dabei werden alle Daten zunächst mithilfe eines zuvor vom Google-Sicherheitsteam genehmigten Prozesses von einer autorisierten Einzelperson gelöscht. Anschließend führt eine andere autorisierte Person eine zweite Inspektion durch, um die erfolgreiche Löschung der Daten auf dem Laufwerk zu bestätigen. Diese Löschungsergebnisse werden zur Nachverfolgung mit der Seriennummer des Laufwerks protokolliert. Schließlich wird das gelöschte Laufwerk zur Wiederverwendung und erneuten Bereitstellung in das Inventar übergeben. Wenn das Laufwerk aufgrund eines Hardwarefehlers nicht gelöscht werden kann, wird es sicher aufbewahrt, bis eine physische Vernichtung möglich ist. Jeder Standort wird wöchentlich geprüft, um die Einhaltung der Richtlinie zur Löschung von Datenträgern zu gewährleisten.

Weitere Informationen zur Datenvernichtung

Sicherheitsfunktionen der Google Cloud Platform

Wie bei allen Google-Produkten gehört auch bei der Google Cloud Platform die Sicherheit zu den zentralen Entwurfs- und Entwicklungsanforderungen. Darüber hinaus überwachen die Site-Reliability-Engineering-Teams den Betrieb der Plattformsysteme, um eine hohe Verfügbarkeit sicherzustellen und den Missbrauch von Plattformressourcen zu verhindern. Produktspezifische Sicherheitsfunktionen werden in der Dokumentation eines jeden Produkts beschrieben, wobei bestimmte, plattformweite Merkmale und Funktionen aber von allen Produkten unterstützt werden.

Abgesicherte Service-APIs und authentifizierter Zugriff

Alle Dienste werden über eine abgesicherte globale API-Gateway-Infrastruktur verwaltet. Ein Zugriff auf diese API-Bereitstellungsinfrastruktur ist nur über verschlüsselte SSL/TLS-Kanäle möglich. Jede Anfrage muss ein zeitlich begrenztes Authentifizierungstoken enthalten, das über einen menschlichen Log-in oder privaten Schlüssel durch das oben beschriebene Authentifizierungssystem generiert wird.

Jeder Zugriff auf Google Cloud Platform-Ressourcen wird über dieselbe robuste authentifizierte Infrastruktur geregelt, die auch anderen Google-Diensten zugrunde liegt. Dies bedeutet, dass Sie Ihre bestehenden Google-Konten verwenden oder eine regulierte, von Google verwaltete Domain einrichten können. Zur Verwaltung von Nutzern stehen Ihnen unter anderem die folgenden Funktionen zur Verfügung: Passwortrichtlinien, 2-Faktor-Authentifizierung und neue Innovationen zur Authentifizierungsdurchsetzung in Form von Hardwaresicherheitsschlüsseln.

Logging

Alle Plattform-API-Anfragen, wie Web-Anfragen, Zugriffe auf Storage-Buckets und auf Nutzerkonten, werden protokolliert. Mit Cloud Platform-Tools können Sie auf Vorgangs- und Zugriffsprotokolle für Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN und Cloud Storage zugreifen.

Datenverschlüsselung

Mit einigen wenigen Ausnahmen verschlüsseln die Cloud Platform-Dienste jederzeit alle gespeicherten inaktiven Kundeninhalte. Die Verschlüsselung erfolgt automatisch und erfordert keinen Eingriff durch den Kunden. Ein oder mehrere Verschlüsselungsmechanismen werden dabei verwendet. Beispielsweise werden alle neu auf nichtflüchtigem Speicher gespeicherten Daten gemäß dem Standard AES-256 verschlüsselt, wobei jeder Verschlüsselungsschlüssel wiederum mit einem Satz von Master-Schlüsseln verschlüsselt wird, die regelmäßig durchgewechselt werden. Dieselben Verschlüsselungs- und Schlüsselverwaltungsrichtlinien, Kryptografie-Bibliotheken und Vertrauensanker, die für Ihre Daten in der Google Cloud Platform zum Einsatz kommen, werden auch von zahlreichen Google-Produktionsdiensten wie Gmail und für die Unternehmensdaten von Google verwendet.

Weitere Informationen zu Ihren Verschlüsselungsoptionen

Sicheres globales Netzwerk

Das globale Netzwerk von Google ist mit den meisten ISPs weltweit verbunden und trägt so dazu bei, die Sicherheit von Daten während der Übertragung zu verbessern, weil die Anzahl der Hops über das öffentliche Internet begrenzt wird. Cloud Interconnect und verwaltetes VPN geben Ihnen die Möglichkeit, verschlüsselte Kanäle zwischen Ihrer privaten IT-Umgebung vor Ort und dem Google-Netzwerk einzurichten. Auf diese Weise können Sie Instanzen vollständig vom öffentlichen Internet getrennt halten, aber weiterhin über Ihre private Infrastruktur erreichen.

Weitere Informationen zur Verschlüsselung während der Übertragung

Angriffserkennung

Bei der Angriffserkennung von Google wird die Größe und Zusammensetzung der Angriffsfläche von Google durch vorbeugende Maßnahmen streng kontrolliert. Dabei kommen intelligente Kontrollen zur Erkennung an Dateneingangspunkten zum Einsatz und außerdem Technologien, die bestimmte Gefahrensituationen automatisch bereinigen.

Sicherheitsscans

Cloud Security Scanner hilft App Engine-Entwicklern, die gängigsten Sicherheitslücken in ihren Webanwendungen zu erkennen, insbesondere Cross-Site-Scripting (XSS, websiteübergreifendes Scripting) und gemischte Inhalte.

Cloud Platform-Projekte schützen

Google tut alles, um seinen Teil dazu beizutragen, dass Ihre Projekte sicher sind. Doch Sicherheit ist immer eine gemeinsame Verantwortung. Wir stellen Ihnen Funktionen und Hilfsmittel bereit, mit denen Sie Ihr Projekt schützen können.

Betriebssystem- und Anwendungspatches

Google Compute Engine und Google Kubernetes Engine basieren auf virtuellen Maschinen (VMs). Wenn Sie diese Technologien bei Ihren Projekten einsetzen, liegt es in Ihrer Verantwortung, das Betriebssystem und die Anwendungen der VMs durch die Installation von Sicherheitspatches immer auf dem neuesten Stand zu halten. Google kümmert sich um die Aufrechterhaltung der Sicherheit und das Patchen der Host-Betriebssystemumgebungen.

Nutzer- und Anmeldedaten verwalten

Bei der Google Cloud Platform können Sie die Nutzerberechtigungen auf Projektebene einstellen. Geben Sie Teammitgliedern möglichst wenig Zugriffsrechte.

Firewallregeln für das Netzwerk pflegen

Standardmäßig wird sämtlicher von außerhalb des Netzwerks eingehender Traffic blockiert. Kein Paket darf ohne explizite Firewallregeln bei einer VM-Instanz ankommen. Um eingehenden Netzwerktraffic zu erlauben, müssen Sie Ihre Firewalls so einrichten, dass sie diese Verbindungen zulassen. Dieser Ansatz bei den Netzwerkberechtigungen versetzt Sie in die Lage, Ursprung und Art des Datenverkehrs festzulegen, der Ihre Compute-Instanzen erreichen darf.

Penetrationstests

Wenn Sie die Sicherheit Ihrer Cloud Platform-Infrastruktur durch einen Penetrationstest prüfen möchten, brauchen Sie sich deswegen vor Beginn des Tests nicht mit uns in Verbindung zu setzen. Sie müssen sich jedoch an die für die Cloud Platform geltenden Richtlinien zur fairen Nutzung und die Nutzungsbedingungen halten und dafür sorgen, dass Ihre Tests nur Auswirkungen auf Ihre Projekte haben und nicht auf Anwendungen anderer Kunden. Sollten Sie eine Sicherheitslücke entdecken, melden Sie diese bitte über das Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken).

Vertrauliche Daten verwalten

Daten weisen unterschiedliche Vertraulichkeitsgrade auf. Die Cloud Platform stellt die grundlegende Funktionalität für die Erstellung sicherer Anwendungen bereit. Trotzdem sind Sie dafür verantwortlich, auf Ebene Ihrer Anwendung eine entsprechende Verschiebung von Daten und einen entsprechenden Zugriff auf diese Daten durchzusetzen. Hierzu gehört auch, dass Sie Ihre Endnutzer davon abhalten, entscheidende Informationen außerhalb des Unternehmensnetzwerks bzw. der öffentlichen Cloudinfrastruktur zu teilen (also Schutz vor Datenverlust), und dass Sie den Schutz von Daten sicherstellen, anhand derer eine bestimmte Einzelperson identifiziert werden könnte (also Schutz personenbezogener Daten). Hier erfahren Sie mehr über den Schutz vor Datenverlust.

Protokollierung und Monitoring

Die Cloud Platform bietet Tools wie Google Cloud Logging und Google Cloud Monitoring, mit denen Sie auf einfache Weise Anfrageprotolle erfassen und analysieren sowie die Verfügbarkeit Ihrer Infrastrukturdienste (z. B. VM-Instanzen) überwachen können. Diese Tools vereinfachen außerdem die Erstellung angepasster Dashboards und die Definition von Warnungen für den Fall, dass Probleme auftreten.

Compliance mit PCI- und HIPAA-Bestimmungen

Unsere Compliancedokumentation enthält Informationen zu Ihrer Rolle bei der Erfüllung bestimmter Vorschriften, einschließlich der Datenschutzrichtlinie der EU.