Sichere Datenumgebungen in Google Cloud

In diesem Dokument wird eine allgemeine Architektur für den Schutz umfangreicher Datasets mit sensiblen Daten, einschließlich personenbezogener Daten (personenbezogene Daten), in Google Cloudbeschrieben. Die Architektur soll dazu beitragen, sensible Daten vor versehentlicher Offenlegung und böswilliger Exfiltration zu schützen. Sie richtet sich an Datenschutzbeauftragte und Cloudsicherheitsingenieure, die mit den Grundlagen von Cloud-Netzwerken und Identitätskonzepten vertraut sind. Die Architektur hebt die Verwendung von Netzwerkperimetern hervor, die permissive Identity and Access Management-Einstellungen (IAM) explizit überschreiben, um unbefugten öffentlichen Zugriff zu verhindern, auch wenn Ressourcen falsch konfiguriert sind.

Im Bereitstellungsabschnitt dieses Dokuments finden Sie ein Terraform-Code beispiel, mit dem Sie diesen Perimeter selbst bereitstellen und eine Blockierung des öffentlichen Zugriffs simulieren können.

Architektur

Das folgende Architekturdiagramm veranschaulicht eine robuste, mehrschichtige Daten schutzstrategie in Google Cloud. Es zeigt effektiv, wie Daten aus einem unstrukturierten Zustand in eine sichere, verwaltete Umgebung verschoben werden.

Das obige Diagramm zeigt, wie jeder Google-Dienst die Daten vom ersten Upload bis zum Datenzugriff schützt:

1. Ein Nutzer mit den entsprechenden IAM-Berechtigungen lädt Daten in den Datenspeicherdienst BigQuery oder Cloud Storage hoch. Die Speicherdienste sind so konfiguriert, dass sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) und Cloud KMS Autokey verwenden.
2. Der Dienst verschlüsselt die Daten mit einem CMEK, der von Cloud KMS Autokey abgerufen wird.
3. Sensitive Data Protection prüft, klassifiziert und de‑identifiziert kontinuierlich sensible Daten im Repository. Zum De‑Identifizieren sensibler Daten maskiert Sensitive Data Protection die Daten mit Vorlagen und Optionen, die Sie konfigurieren.
4. Die Speicherdienste befinden sich innerhalb eines VPC Service Controls-Perimeters, der den Datenzugriff von außerhalb des Perimeters blockiert. Um bestimmten Nutzern und Systemen (IAM Principals) Zugriffsberechtigungen zu erteilen, verwenden Sie eine Zugriffsebenenvorlage von Access Context Manager. Die angegebenen Principals können dann auf Daten zugreifen, die sich innerhalb des Perimeters befinden.
5. VPC Service Controls verweigert den Zugriff für alle, die nicht in der Zugriffsebenenvorlage angegeben sind.

Verwendete Produkte

• VPC Service Controls: Eine verwaltete Netzwerkfunktion, die das Risiko einer Daten Exfiltration für Ihre Google Cloud Ressourcen minimiert.
• Sensitive Data Protection: Ein vollständig verwalteter Dienst, mit dem Sie Ihre wertvollen Daten-Assets, einschließlich personenidentifizierbarer Informationen (PII), erkennen, klassifizieren und schützen können.
• Cloud Key Management Service (Cloud KMS): Ein Dienst, mit dem Sie kryptografische Schlüssel erstellen, importieren und verwalten sowie kryptografische Vorgänge in einem einzigen zentralisierten Cloud-Dienst ausführen können.
• Access Context Manager: Ein Dienst, mit dem Sie differenzierte, attributbasierte Zugriffssteuerungsrichtlinien für Ihre Projekte und Ressourcen in definieren können Google Cloud.
• BigQuery: Ein Data Warehouse für Unternehmen, mit dem Sie Ihre Daten mit integrierten Features wie raumbezogenen Analysen für maschinelles Lernen und Business Intelligence verwalten und analysieren können.
• Cloud Storage: Ein kostengünstiger, unbegrenzter Objektspeicher für verschiedene Datentypen. Auf Daten kann von innerhalb und außerhalb zugegriffen werden Google Cloud. Sie werden zu Redundanzzwecken über Standorte hinweg repliziert.

Anwendungsfälle

Diese Architektur bietet ein robustes Sicherheitsframework für den Umgang mit sensiblen Daten in Google Cloud. Der Schwerpunkt liegt auf Datenschutz, Zugriffssteuerung und Verhinderung von Exfiltration. Die Architektur trägt dazu bei, eine sichere Umgebung für sensible Daten zu schaffen, indem sie eine starke Verschlüsselung mit der automatisierten De‑Identifizierung von Daten und Kontrollen für Netzwerkperimeter kombiniert. Diese Implementierung trägt dazu bei, dass Daten mit vom Kunden kontrollierten Schlüsseln (CMEKs) verschlüsselt werden, dass sensible Informationen automatisch erkannt und maskiert werden und dass der Zugriff streng eingeschränkt und kontextbezogen verwaltet wird. Diese Maßnahmen tragen dazu bei, das Risiko einer Daten-Exfiltration erheblich zu minimieren.

Im Folgenden finden Sie Beispiele für Anwendungsfälle für die in diesem Dokument beschriebene Architektur:

• Regulierte Branchen (Finanzwesen, Gesundheitswesen, öffentlicher Sektor): In stark regulierten Branchen sind Sicherheitsframeworks erforderlich, die zur Einhaltung von Compliance-Anforderungen und zur Datensicherheit beitragen. Um Compliance zu erreichen und sensible Kundendaten zu schützen, ist es entscheidend, dass Daten im Ruhezustand gesichert werden, dass sensible Daten erkannt werden und dass Zugriffssteuerungen vorhanden sind. Wir empfehlen regulierten Branchen, dieses Design zu implementieren, um die Daten-Compliance zu erreichen.
• Nicht regulierte Branchen: Branchen, die keinen Datenvorschriften unterliegen, können von der Implementierung eines robusten Sicherheitsframeworks profitieren. Es ist wichtig, die Offenlegung sensibler Daten zu verhindern, Daten sicher zu speichern und Richtlinien zu haben, die den Zugriff auf Daten steuern. Die Architektur in diesem Dokument kann einer nicht regulierten Branche helfen, das gleiche Sicherheitsniveau wie eine stark regulierte Branche zu erreichen. Wir empfehlen nicht regulierten Branchen, dieses Design als Best Practice zu implementieren.

Designaspekte

• Um Log-Verstöße zu analysieren und versehentliche Sperrungen von Produktions arbeitslasten zu verhindern, sollten Sie VPC Service Controls immer zuerst im Probelaufmodus implementieren.
• Damit vertrauenswürdige Unternehmensnetzwerke und Verwaltungsgeräte mit geschützten Ressourcen interagieren können, müssen Sie präzise Access Context Manager-Richtlinien und -Ebenen definieren.

• Um schnell und kostengünstig zu ermitteln, wo sich sensible Daten befinden könnten, führen Sie Sensitive Data Protection mit aktivierter Stichprobenerhebung für große Datasets aus. Weitere Informationen finden Sie in den folgenden Ressourcen:

  • BigQuery mithilfe von Stichproben auf sensible Daten prüfen
  • Cloud Storage mithilfe von Stichproben prüfen

  Um einen umfassenden Schutz für diese Datasets zu gewährleisten, führen Sie nach der Prüfung von Daten mit Stichproben eine umfassende Überprüfung durch. Weitere Informationen finden Sie unter Übersicht über die Erkennung sensibler Daten.

• Damit die automatische Verschlüsselung erzwungen wird, aktivieren Sie Cloud KMS Autokey auf Ordner- oder Projektebene, bevor Sie Ressourcen erstellen.

Bereitstellung

Wenn Sie eine Beispielimplementierung dieser Architektur bereitstellen möchten, verwenden Sie das Codebeispiel für Datensicherheit , das auf GitHub verfügbar ist.

Nächste Schritte

• Informationen zum Umgang mit Cloud KMS Autokey finden Sie im Codelab Ressourcen einfach mit Cloud KMS Autokey verschlüsseln.
• VPC Service Controls mit Access Context Manager verwenden .
• Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud Architecture Center.

Beitragende

Autor*innen:

• Manish Gaur | Security Architect
• James Meyer | Security Architect

Weitere Beitragende:

• Osvaldo Costa | Networking Specialist Customer Engineer
• Susan Wu | Outbound Product Manager
• Mark Schlagenhauf | Technical Writer, Netzwerk
• Biodun Awojobi | Head of Customer Engineering, Security and Compliance