Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Best Practices für den kontinuierlichen Zugriff auf Google Cloud

Last reviewed 2025-08-08 UTC

In diesem Dokument finden Sie Empfehlungen, wie Sie den kontinuierlichen Zugriff auf Ressourcen aufrechterhalten können. Google Cloud Geschäftskontinuität soll sicherstellen, dass Ihre Organisation auch bei Störungen wie Ausfällen oder Katastrophen den wesentlichen Betrieb aufrechterhalten kann. Dazu gehört auch, dass Mitarbeiter weiterhin Zugriff haben, wenn kritische Dienste und die Infrastruktur nicht verfügbar sind.

Dieses Dokument richtet sich an Sicherheits- oder Zuverlässigkeitsexperten, die für Identity and Access Management (IAM) und für die Aufrechterhaltung des sicheren Zugriffs auf Google Cloudverantwortlich sind. In diesem Dokument wird davon ausgegangen, dass Sie bereits mit Cloud Identity, Google Workspace und der IAM-Verwaltung vertraut sind.

Damit Sie sich auf Ausfälle vorbereiten und den kontinuierlichen Zugriff sicherstellen können, werden in diesem Dokument die folgenden empfohlenen Schritte beschrieben, die Sie implementieren können. Sie können alle oder einige dieser Schritte ausführen. Wir empfehlen jedoch, sie in der folgenden Reihenfolge zu implementieren.

Notfallzugriff einrichten: Ermöglichen Sie den Zugriff auf Google Cloud Ressourcen im Notfall.

Wir empfehlen, den Notfallzugriff für alle Ihre Google Cloud Organisationen einzurichten, unabhängig von Ihren individuellen Anforderungen an die Geschäftskontinuität.
Alternative Authentifizierung für kritische Nutzer bereitstellen: Wenn Ihre Organisation die Einmalanmeldung (Single Sign-On, SSO) verwendet, kann jede Störung, die Ihren externen Identitäts anbieter (Identity Provider, IdP) betrifft, die Möglichkeit der Mitarbeiter beeinträchtigen, sich zu authentifizieren und zu verwenden Google Cloud.

Um die Auswirkungen einer IdP-Störung auf Ihre Organisation zu verringern, sollten Sie eine alternative Authentifizierung für geschäftskritische Nutzer bereitstellen, damit sie weiterhin auf Google Cloud Ressourcen zugreifen können.
Backup-IdP verwenden: Damit alle Nutzer bei einer IdP-Störung auf Google Cloud Ressourcen zugreifen können, können Sie einen Fallback-IdP verwenden.

Ein Fallback-IdP kann dazu beitragen, die Auswirkungen einer Störung weiter zu minimieren. Diese Option ist jedoch möglicherweise nicht für jede Organisation kosteneffizient.

In den folgenden Abschnitten werden diese empfohlenen Schritte und Best Practices beschrieben.

Notfallzugriff einrichten

Der Notfallzugriff dient dazu, den Zugriff auf Google Cloud Ressourcen im Notfall zu ermöglichen und Situationen zu vermeiden, in denen Sie den Zugriff vollständig verlieren könnten.

Notfallzugriffsnutzer haben die folgenden Eigenschaften:

Sie sind Nutzer, die Sie in Ihrem Cloud Identity- oder Google Workspace-Konto erstellen.
Sie haben die Super Admin-Berechtigung, die ihnen ausreichend Zugriff bietet, um Fehlkonfigurationen zu beheben, die sich auf Ihre Cloud Identity-, Google Workspace- oder Google Cloud Ressourcen auswirken.
Sie sind nicht mit einem bestimmten Mitarbeiter in der Organisation verknüpft und unterliegen nicht dem Lebenszyklus von Standardnutzerkonten (Joiner, Mover, Leaver, JML).
Sie sind von der SSO ausgenommen.

In den folgenden Abschnitten werden die empfohlenen Best Practices beschrieben, die Sie bei der Verwaltung und Sicherung von Notfallzugriffsnutzern beachten sollten.

Notfallzugriffsnutzer für jede Umgebung erstellen

Für Google Cloud Umgebungen, in denen Produktionsarbeitslasten gehostet werden, ist der Notfall zugriff von entscheidender Bedeutung. Auch für Google Cloud Umgebungen, die für Test- oder Staging-Zwecke verwendet werden, kann ein Verlust des Zugriffs störend sein.

Um den kontinuierlichen Zugriff auf alle Ihre Google Cloud Umgebungen zu gewährleisten, erstellen und verwalten Sie Notfallzugriffsnutzer in Cloud Identity oder Google Workspace für jede Umgebung.

Notfallzugriff redundanzfähig machen

Ein einzelner Notfallzugriffsnutzer ist ein Single Point of Failure. In diesem Szenario kann ein defekter Sicherheitsschlüssel, ein verlorenes Passwort oder eine Kontosperrung den Zugriff auf ein Konto unterbrechen. Um dieses Risiko zu minimieren, können Sie für jedes Cloud Identity- oder Google Workspace-Konto mehrere Notfallzugriffsnutzer erstellen.

Notfallzugriffsnutzer haben sehr hohe Berechtigungen. Erstellen Sie daher nicht zu viele. Für die meisten Organisationen empfehlen wir mindestens zwei und maximal fünf Notfallzugriffsnutzer für jedes Cloud Identity- oder Google Workspace-Konto.

Separate Organisationseinheit für Notfallzugriffsnutzer verwenden

Notfallzugriffsnutzer erfordern eine spezielle Konfiguration und unterliegen nicht dem JML-Lebenszyklus, den Sie möglicherweise für andere Nutzerkonten verwenden.

Um Notfallzugriffsnutzer von Standardnutzerkonten zu trennen, verwenden Sie eine separate Organisationseinheit (OE) für Notfallzugriffsnutzer. Mit einer separaten OE können Sie benutzerdefinierte Konfigurationen nur auf Notfallnutzer anwenden.

FIDO-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung verwenden

Verwenden Sie FIDO-Sicherheitsschlüssel (Fast IDentity Online) für die 2‑Faktor-Authentifizierung.

Da Notfallzugriffsnutzer sehr hohe Berechtigungen in Ihrem Cloud Identity- oder Google Workspace-Konto haben, müssen Sie diese Nutzer mit der 2‑Faktor-Authentifizierung schützen.

Unter den von Cloud Identity und Google Workspace unterstützten 2‑Faktor-Authentifizierungsmethoden empfehlen wir die Verwendung von FIDO-Sicherheitsschlüsseln. Diese Methode bietet Schutz vor Phishing und hohe Sicherheit. So stellen Sie sicher, dass alle Ihre Notfallzugriffsnutzer FIDO-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung verwenden:

Konfigurieren Sie in der OE, die Ihre Notfallzugriffsnutzer enthält, die 2‑Faktor-Authentifizierung so, dass nur Sicherheitsschlüssel als Authentifizierungsmethode zulässig sind.
Aktivieren Sie die 2‑Faktor-Authentifizierung für alle Notfallzugriffsnutzer.
Registrieren Sie für jeden Notfallzugriffsnutzer mindestens zwei FIDO-Sicherheitsschlüssel.

Wenn Sie mehrere Schlüssel für jeden Nutzer registrieren, können Sie das Risiko eines Zugriffsverlusts aufgrund eines defekten Sicherheitsschlüssels verringern. Außerdem erhöhen Sie die Wahrscheinlichkeit, dass der Nutzer im Notfall auf mindestens einen der Schlüssel zugreifen kann.

Es ist zulässig, dieselben Sicherheitsschlüssel für mehrere Notfallzugriffsnutzer zu verwenden. Es ist jedoch besser, für jeden Notfallzugriffsnutzer unterschiedliche Sicherheitsschlüssel zu verwenden.

Physische Sicherheitskontrollen zum Schutz von Anmeldedaten und Sicherheitsschlüsseln verwenden

Wenn Sie die Anmeldedaten und Sicherheitsschlüssel von Notfallzugriffsnutzern speichern, müssen Sie einen Ausgleich zwischen starkem Schutz und Verfügbarkeit im Notfall finden:

Verhindern Sie, dass nicht autorisiertes Personal auf die Anmeldedaten von Notfallzugriffsnutzern zugreifen kann. Notfallzugriffsnutzer dürfen diese Anmeldedaten nur im Notfall verwenden.
Stellen Sie sicher, dass autorisiertes Personal im Notfall mit minimaler Verzögerung auf die Anmeldedaten zugreifen kann.

Wir empfehlen, sich nicht auf einen softwarebasierten Passwortmanager zu verlassen. Stattdessen sollten Sie physische Sicherheitskontrollen verwenden, um die Anmeldedaten und Sicherheitsschlüssel von Notfallzugriffsnutzern zu schützen.

Berücksichtigen Sie bei der Auswahl der physischen Sicherheitskontrollen Folgendes:

Verfügbarkeit verbessern:
- Speichern Sie Kopien von Passwörtern an mehreren physischen Standorten, z. B. in mehreren Tresoren in verschiedenen Büros.
- Registrieren Sie mehrere Sicherheitsschlüssel für jeden Notfallzugriffsnutzer und bewahren Sie einen Schlüssel an jedem relevanten Bürostandort auf.
Sicherheit verbessern:Speichern Sie das Passwort und die Sicherheitsschlüssel an verschiedenen Orten.

Automatisierung für die Passwortrotation vermeiden

Es mag vorteilhaft erscheinen, die Passwortrotation für Notfallzugriffsnutzer zu automatisieren. Diese Automatisierung kann jedoch das Risiko einer Sicherheitsverletzung erhöhen. Notfallzugriffsnutzer haben Super Admin-Berechtigungen. Um das Passwort eines Super Admin-Nutzers zu rotieren, müssen auch Automatisierungstools oder -Skripts Super Admin-Berechtigungen haben. Diese Anforderung kann dazu führen, dass die Tools attraktive Ziele für Angreifer sind.

Um sicherzustellen, dass Sie Ihre allgemeine Sicherheitslage nicht schwächen, sollten Sie die Passwörter nicht automatisch rotieren.

Starke Passwörter verwenden

Um Notfallzugriffsnutzer zu schützen, sollten Sie darauf achten, dass sie ein langes und starkes Passwort verwenden. Um eine Mindestkomplexität für Passwörter zu erzwingen, verwenden Sie eine separate OE wie zuvor beschrieben und implementieren Sie Passwortanforderungen.

Sofern Sie Passwörter nicht manuell rotieren, deaktivieren Sie den Ablauf von Passwörtern für alle Notfallzugriffsnutzer.

Notfallzugriffsnutzer von Zugriffsrichtlinien ausschließen

Im Notfall können kontextsensitive Zugriffsrichtlinien dazu führen, dass selbst ein Notfallzugriffsnutzer nicht auf bestimmte Ressourcen zugreifen kann. Um dieses Risiko zu minimieren, schließen Sie mindestens einen Notfallzugriffsnutzer von allen Zugriffsebenen in Ihren Zugriffsrichtlinien aus.

Diese Ausnahmen sorgen dafür, dass mindestens einer Ihrer Notfallzugriffsnutzer kontinuierlichen Zugriff auf Ressourcen hat. Im Notfall oder bei einer falsch konfigurierten kontextsensitiven Zugriffsrichtlinie können diese Notfallzugriffsnutzer ihren Zugriff beibehalten.

Benachrichtigungen für Ereignisse von Notfallzugriffsnutzern einrichten

Jede Nutzeraktivität von Notfallzugriffsnutzern außerhalb eines Notfalls deutet wahrscheinlich auf verdächtiges Verhalten hin. Wenn Sie über Ereignisse im Zusammenhang mit Aktivitäten von Notfallzugriffsnutzern benachrichtigt werden möchten, erstellen Sie eine Berichtsregel in der Admin-Konsole. Wenn Sie eine Berichtsregel erstellen, können Sie Bedingungen wie die folgenden festlegen:

Datenquelle:Nutzer-Protokollereignisse.
Attribute auf dem Tab Tool zur Bedingungserstellung:Verwenden Sie Attribute und Operatoren, um einen Filter für die OE zu erstellen, die Ihre Notfallzugriffsnutzer und die Ereignisse enthält.

Sie können beispielsweise Attribute und Operatoren festlegen, um einen Filter zu erstellen, der den folgenden bedingten Anweisungen ähnelt:
```
Actor organizational unit Is /Privileged

AND

(Event Is Successful login OR Event Is Failed login OR Event Is Account
password change)
```
Schwellenwert:Jede Stunde, wenn Anzahl > 0
Aktion:E-Mail-Benachrichtigungen senden
E-Mail-Empfänger:Wählen Sie eine Gruppe aus, die die relevanten Mitglieder Ihres Sicherheitsteams enthält.

Alternative Authentifizierung für kritische Nutzer bereitstellen

Wenn Ihre Organisation die SSO verwendet, damit sich Mitarbeiter bei Google-Diensten authentifizieren können, ist die Verfügbarkeit Ihres externen IdP von entscheidender Bedeutung. Jede Störung Ihres IdP kann verhindern, dass Mitarbeiter auf wichtige Tools und Ressourcen zugreifen können.

Der Notfallzugriff trägt zwar dazu bei, den kontinuierlichen administrativen Zugriff sicherzustellen, geht aber nicht auf die Bedürfnisse der Mitarbeiter bei einem IdP-Ausfall ein.

Um die potenziellen Auswirkungen einer IdP-Unterbrechung zu verringern, können Sie Ihr Cloud Identity- oder Google Workspace-Konto so konfigurieren, dass eine Fallback-Authentifizierung für kritische Nutzer verwendet wird. Sie können den folgenden Fallback-Plan verwenden:

Im Normalbetrieb lassen Sie Nutzer sich mit der SSO authentifizieren.
Bei einem IdP-Ausfall deaktivieren Sie die SSO selektiv für diese kritischen Nutzer und lassen sie sich mit Google-Anmeldedaten authentifizieren, die Sie im Voraus bereitstellen.

In den folgenden Abschnitten werden die empfohlenen Best Practices beschrieben, die Sie beachten sollten, wenn Sie kritischen Nutzern die Authentifizierung bei Ausfällen externer IdPs ermöglichen.

Fokus auf privilegierte Nutzer

Damit sich kritische Nutzer bei einem IdP-Ausfall authentifizieren können, müssen sie gültige Google-Anmeldedaten haben, z. B.:

Ein Passwort mit einem Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung.
Einen Passkey.

Wenn Sie Google-Anmeldedaten für Nutzer bereitstellen, die normalerweise die SSO verwenden, können sich der Betriebsaufwand und die Nutzerreibung auf folgende Weise erhöhen:

Je nach IdP können Sie Nutzerpasswörter möglicherweise nicht automatisch synchronisieren. Daher müssen Sie Nutzer möglicherweise bitten, ein Passwort manuell festzulegen.
Möglicherweise müssen Sie Nutzer auffordern, einen Passkey zu registrieren oder sich für die 2‑Faktor-Authentifizierung anzumelden. Dieser Schritt ist für SSO-Nutzer normalerweise nicht erforderlich.

Um die Vorteile des ununterbrochenen Zugriffs auf Google-Dienste mit dem zusätzlichen Aufwand in Einklang zu bringen, sollten Sie sich auf privilegierte und geschäftskritische Nutzer konzentrieren. Diese Nutzer profitieren eher von einem ununterbrochenen Zugriff und machen möglicherweise nur einen Bruchteil Ihrer gesamten Nutzerbasis aus.

Identitätsbestätigung nach der Einmalanmeldung aktivieren

Wenn Sie eine alternative Authentifizierung für privilegierte Nutzer bereitstellen, kann dies zu zusätzlichem Aufwand führen. Um diesen Aufwand auszugleichen, können Sie für diese Nutzer auch die Identitätsbestätigung nach der Einmalanmeldung aktivieren.

Wenn Sie die SSO für Ihre Nutzer einrichten, ist die 2‑Faktor-Authentifizierung standardmäßig nicht erforderlich. Diese Vorgehensweise ist zwar praktisch, aber wenn der IdP kompromittiert wird, kann jeder Nutzer, für den die Identitätsbestätigung nach der Einmalanmeldung nicht aktiviert ist, Ziel von Angriffen zur Fälschung von Anmeldedaten werden.

Die Identitätsbestätigung nach der Einmalanmeldung trägt dazu bei, die potenziellen Auswirkungen einer IdP-Kompromittierung zu verringern, da Nutzer nach jedem SSO-Versuch die 2‑Faktor-Authentifizierung durchführen müssen. Wenn Sie Google-Anmeldedaten für privilegierte Nutzer bereitstellen, kann die Identitätsbestätigung nach der Einmalanmeldung die Sicherheitslage dieser Nutzerkonten ohne zusätzlichen Aufwand verbessern.

Separate OE für privilegierte Nutzer verwenden

Privilegierte Nutzer, die sich bei Ausfällen externer IdPs authentifizieren können, erfordern eine spezielle Konfiguration. Diese Konfiguration unterscheidet sich von der Konfiguration für Standardnutzer und Notfallzugriffsnutzer.

Um privilegierte Nutzer von diesen anderen Nutzerkonten zu trennen, verwenden Sie eine separate OE für privilegierte Nutzer. Mit dieser separaten OE können Sie benutzerdefinierte Richtlinien wie die Identitätsbestätigung nach der Einmalanmeldung nur auf diese privilegierten Nutzer anwenden.

Eine separate OE hilft Ihnen auch, die SSO für privilegierte Nutzer bei einem IdP-Ausfall selektiv zu deaktivieren. Um die SSO für die OE zu deaktivieren, können Sie die Zuweisungen von SSO-Profilen ändern.

Backup-IdP verwenden

Wenn Sie alternative Authentifizierungsmethoden für kritische Nutzer bei IdP-Ausfällen bereitstellen, können Sie die Auswirkungen dieses IdP-Ausfalls auf Ihre Organisation verringern. Diese Strategie zur Risikominderung reicht jedoch möglicherweise nicht aus, um die volle Betriebskapazität aufrechtzuerhalten. Viele Nutzer können möglicherweise weiterhin nicht auf wichtige Anwendungen und Dienste zugreifen.

Um die potenziellen Auswirkungen eines IdP-Ausfalls weiter zu verringern, können Sie ein Failover zu einem Backup-IdP durchführen. Sie können den folgenden Backup-Plan verwenden:

Im Normalbetrieb lassen Sie Nutzer sich mit der SSO und Ihrem primären IdP authentifizieren.
Bei einem IdP-Ausfall ändern Sie die SSO-Konfiguration Ihres Cloud Identity- oder Google Workspace-Kontos, um zum Backup-IdP zu wechseln.

Der Backup-IdP muss nicht vom selben Anbieter stammen. Wenn Sie einen Backup-IdP erstellen, verwenden Sie eine Konfiguration, die der Konfiguration Ihres primären IdP entspricht. Damit sich alle Ihre Nutzer über den Backup-IdP authentifizieren und auf Google-Dienste zugreifen können, muss der Backup-IdP eine aktuelle Kopie der Nutzerbasis des primären IdP verwenden.

Ein Backup-IdP kann umfassenden Notfallzugriff bieten. Sie müssen diese Vorteile jedoch gegen die zusätzlichen Risiken abwägen, die ein Backup-IdP mit sich bringen kann. Zu diesen potenziellen Risiken gehören:

Wenn der Backup-IdP eine schwächere Sicherheit als der primäre IdP hat, kann auch die allgemeine Sicherheitslage Ihrer Google Cloud Umgebung bei einem Failover schwächer sein.
Wenn sich der primäre IdP und der Backup-IdP in der Art und Weise unterscheiden, wie sie SAML-Assertions ausgeben, kann der IdP Nutzer dem Risiko von Spoofing-Angriffen aussetzen.

In den folgenden Abschnitten werden die empfohlenen Best Practices beschrieben, die Sie beachten sollten, wenn Sie einen Backup-IdP für den Notfallzugriff verwenden.

Separates SAML-Profil für den Backup-IdP erstellen

In Cloud Identity und Google Workspace können Sie mehrere SAML-Profile erstellen. Jedes SAML-Profil kann auf einen anderen SAML-IdP verweisen.

Um den Aufwand für das Failover zum Backup-IdP zu minimieren, bereiten Sie im Voraus ein SAML-Profil für den Backup-IdP vor:

Erstellen Sie separate SAML-Profile für Ihren primären IdP und Ihren Backup-IdP.
Konfigurieren Sie die Zuweisungen von SSO-Profilen so, dass im Normalbetrieb nur das SAML-Profil des primären IdP zugewiesen wird.
Ändern Sie die Zuweisungen von SSO-Profilen so, dass bei einem IdP-Ausfall das SAML-Profil des Backup-IdP verwendet wird. Ändern Sie nicht die einzelnen SAML-Profileinstellungen.

Vorhandenen lokalen IdP verwenden

Sie müssen keinen zusätzlichen IdP als Backup bereitstellen. Prüfen Sie stattdessen, ob Sie einen vorhandenen lokalen IdP für diesen Zweck verwenden können. Ihre Organisation verwendet beispielsweise möglicherweise Active Directory als maßgebliche Quelle für Identitäten und Active Directory Federation Services (AD FS) für die SSO. In diesem Szenario können Sie AD FS möglicherweise als Backup-IdP verwenden.

Dieser Ansatz zur Wiederverwendung kann dazu beitragen, Kosten und Wartungsaufwand zu begrenzen.

Backup-IdP für die erforderliche Last vorbereiten

Wenn Sie die Authentifizierung auf den Backup-IdP umstellen, muss dieser alle Authentifizierungsanfragen verarbeiten, die normalerweise von Ihrem primären IdP verarbeitet werden.

Bei der Bereitstellung und Dimensionierung eines Backup-IdP hängt die Anzahl der erwarteten Anfragen von den folgenden Faktoren ab:

Die Anzahl der Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto.
Die konfigurierte Google Cloud Sitzungslänge.

Wenn die Sitzungslänge beispielsweise zwischen 8 und 24 Stunden liegt, können die Authentifizierungsanfragen in den Morgenstunden ansteigen, wenn Mitarbeiter ihren Arbeitstag beginnen.

Failover-Verfahren regelmäßig testen

Damit der SSO-Failover-Prozess zuverlässig funktioniert, müssen Sie ihn regelmäßig überprüfen. So testen Sie das Failover-Verfahren:

Ändern Sie die Zuweisung von SSO-Profilen für eine oder mehrere OEs oder Gruppen manuell, um den Backup-IdP zu verwenden.
Prüfen Sie, ob die SSO mit dem Backup-IdP wie erwartet funktioniert.
Prüfen Sie, ob die Signaturzertifikate auf dem neuesten Stand sind.

Nächste Schritte

Die Best Practices für die Sicherheit von Administratorkonten ansehen
Weitere Informationen zu Best Practices für die Föderation Google Cloud mit einem externen Identitätsanbieter.
Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud Architecture Center.

Beitragende

Autor: Johannes Passing | Cloud Solutions Architect

Weiterer Beitragender: Ido Flatow | Cloud Solutions Architect