Sicherheitsrichtlinien für Application Integration

In diesem Dokument werden die Sicherheitsrichtlinien und ‑aspekte für das Produkt Application Integration beschrieben. Wenn Sie Application Integration noch nicht kennen, empfehlen wir Ihnen, mit der Übersicht über Application Integration zu beginnen.

Dienstkonten

Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Ein Dienstkonto wird durch eine eindeutige E-Mail-Adresse identifiziert. Weitere Informationen finden Sie unter Dienstkonten.

Mit Dienstkonten können Sie sicheren Zugriff auf die Google Cloud-Ressourcen gewähren, ohne Ihre eigenen Anmeldedaten weiterzugeben. So wird der unbefugte Zugriff auf Ihre Ressourcen verhindert.

Im Folgenden finden Sie einige Best Practices, die Sie bei der Verwendung eines Dienstkontos beachten sollten:

  • Erstellen Sie für jede Aufgabe oder Anwendung ein separates Dienstkonto. So können Sie den Zugriff besser verwalten und nachvollziehen, welche Dienstkonten für welche Aufgaben verwendet werden.
  • Gewähren Sie dem Dienstkonto nur die Berechtigungen, die zum Ausführen der vorgesehenen Aufgaben erforderlich sind.
  • Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.

    Wenn Sie den Dienstkontoschlüssel von einer externen Quelle erhalten haben, müssen Sie ihn vor der Verwendung validieren. Weitere Informationen finden Sie unter Sicherheitsanforderungen für Anmeldedaten aus externen Quellen.

  • Überwachen Sie die Nutzung Ihrer Dienstkonten und prüfen Sie die Audit-Logs, um sicherzustellen, dass sie wie vorgesehen verwendet werden. So können Sie unbefugten Zugriff oder Missbrauch von Dienstkonten erkennen.

Weitere Informationen finden Sie unter Best Practices für die Arbeit mit Dienstkonten.

Benutzerdefinierte Rollen

Mit benutzerdefinierten Rollen können Sie detaillierte Berechtigungen erstellen, die auf Ihre spezifischen Anforderungen zugeschnitten sind. Sie können beispielsweise eine benutzerdefinierte Rolle erstellen, mit der ein Dienstkonto Daten in einen Cloud Storage-Bucket lesen und schreiben, aber nicht löschen kann. Benutzerdefinierte Rollen sind nützlich, um den Zugriff auf Ihre Google Cloud-Ressourcen zu verwalten und dafür zu sorgen, dass Nutzer und Anwendungen nur die Berechtigungen haben, die für die Ausführung der vorgesehenen Aufgaben erforderlich sind.

Sie können benutzerdefinierte Rollen mit Identity and Access Management (IAM) erstellen und Nutzern, Gruppen oder Dienstkonten zuweisen. Weitere Informationen finden Sie unter Benutzerdefinierte Rolle erstellen.

Authentifizierungsprofile

Mit einem Authentifizierungsprofil können Sie die Authentifizierungsdetails für die Verbindung in einer Integration konfigurieren und speichern. Anstelle einer hartcodierten Authentifizierungskonfiguration können Sie die integrierte Konfiguration des Authentifizierungsprofils verwenden, die für mehr Sicherheit sorgt. Application Integration unterstützt je nach Aufgabe verschiedene Authentifizierungstypen. Weitere Informationen finden Sie unter Kompatibilität von Authentifizierungstypen mit Aufgaben.

Um unbefugten Zugriff zu verhindern und die Sicherheit zu erhöhen, empfiehlt es sich, ein Authentifizierungsprofil zu verwenden, wenn eine Aufgabe dies unterstützt.