Sicherheit, Datenschutz, Risiko und Compliance für Spanner

Dieses Dokument bietet einen Überblick über verschiedene Kontrollen, die zur Sicherheit von Spanner auf Google Cloud beitragen, und Links zu weiteren Informationen zur Konfiguration der Kontrollen. Sicherheitskontrollen wie Netzwerksicherheitsoptionen, Richtlinien und Zugriffsverwaltung können Ihnen helfen, Ihre Geschäftsrisiken zu minimieren und die Datenschutz- und regulatorischen Anforderungen zu erfüllen, die für Ihr Unternehmen gelten.

Sicherheit, Datenschutz, Risiko und Compliance für Spanner basieren auf einem Modell der geteilten Verantwortung. Google schützt beispielsweise die Infrastruktur, auf der Spanner und andere Google Cloud -Dienste ausgeführt werden, und bietet Ihnen Funktionen, mit denen Sie den Zugriff auf Ihre Dienste und Ressourcen verwalten können. Weitere Informationen dazu, wie wir die Infrastruktur schützen, finden Sie in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Bereitgestellte Dienste

Wenn Sie mit Spanner beginnen, aktivieren Sie die folgenden APIs:

Weitere Informationen finden Sie unter Schnelleinstieg: Datenbank in Spanner mit der Google Cloud Console erstellen und abfragen.

Authentifizierung für die Verwaltung von Google Cloud

Administratoren und Entwickler, die Spanner-Instanzen erstellen und verwalten, müssen sich bei Google Cloud authentifizieren, um ihre Identität und Zugriffsrechte zu bestätigen. Sie müssen für jeden Nutzer ein verwaltetes Nutzerkonto einrichten. Die Verwaltung erfolgt entweder über Cloud Identity, Google Workspace oder über die Föderation eines Identitätsanbieters mit Cloud Identity oder Google Workspace. Weitere Informationen finden Sie unter Übersicht über die Identitäts- und Zugriffsverwaltung.

Nachdem Sie die Nutzerkonten erstellt haben, sollten Sie Best Practices für die Sicherheit wie Einmalanmeldung und 2‑Faktor-Authentifizierung implementieren.

Authentifizierung für den Zugriff auf Google Cloud Ressourcen

Mit der Workforce Identity-Föderation können Sie Ihren externen Identitätsanbieter (Identity Provider, IdP) verwenden, um Ihre Mitarbeiter zu authentifizieren, damit sie auf Google Cloud Ressourcen zugreifen können. Verwenden Sie die Workforce Identity-Föderation, wenn Nutzer programmatischen Zugriff auf Ihre Google Cloud Ressourcen benötigen und Sie die Anmeldedaten Ihrer Nutzer in Identitätsanbietern speichern, die OpenID Connect (OIDC) oder Security Assertion Markup Language (SAML) unterstützen.

Mit der Workload Identity-Föderation können Sie Ihren externen IdP verwenden, um lokalen oder Multi-Cloud-Arbeitslasten Zugriff auf Google Cloud -Ressourcen zu gewähren, ohne einen Dienstkontoschlüssel zu verwenden. Sie können die Identitätsföderation mit IdPs wie Amazon Web Services (AWS), Microsoft Entra ID, GitHub oder Okta verwenden.

Weitere Informationen zur Unterstützung der Identitätsföderation in Spanner finden Sie unter Dienste, die die Identitätsföderation unterstützen.

Weitere Informationen zur Authentifizierung in Google Cloudfinden Sie unter Authentifizierung.

Identity and Access Management

Wenn Sie IAM-Rollen (Identity and Access Management) für Ihre Administratoren und Entwickler in großem Umfang verwalten möchten, sollten Sie separate funktionale Gruppen für die verschiedenen Nutzerrollen und Anwendungen erstellen. Weisen Sie Ihren Gruppen die IAM-Rollen oder -Berechtigungen zu, die zum Verwalten von Spanner erforderlich sind. Wenn Sie Ihren Gruppen Rollen zuweisen, halten Sie sich an das Prinzip der geringsten Berechtigung und andere Best Practices für die IAM-Sicherheit. Weitere Informationen finden Sie unter Best Practices für die Verwendung von Google Groups.

Weitere Informationen zum Einrichten von IAM finden Sie in der IAM-Übersicht.

Spanner unterstützt die detaillierte Zugriffssteuerung von IAM, mit der Sie mit IAM-Identitäten den Zugriff auf Spanner-Datenbanken, ‑Tabellen, ‑Spalten und ‑Ansichten steuern können. Weitere Informationen finden Sie unter Detaillierte Zugriffssteuerung.

Spanner-Dienstkonten

Wenn Sie Spanner aktivieren, erstellt Google Dienstkonten für Sie. Ein Dienstkonto ist ein spezieller Typ eines nicht interaktiven Google-Kontos, das in der Regel von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz, nicht von einer Person. Anwendungen verwenden Dienstkonten, um auf Google-APIs zuzugreifen.

Dienst-Agents

Damit Spanner in Ihrem Namen auf Ihre Ressourcen zugreifen kann, erstellt Google Cloud ein spezielles Dienstkonto, das als Dienst-Agent bezeichnet wird.

Wenn Sie Spanner aktivieren, wird der folgende Spanner-Dienst-Agent erstellt:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Richtlinien für Cloud Spanner

Die vordefinierten Organisationsrichtlinien, die für Spanner gelten, sind:

  • Erstellung von Instanzen einschränken, die Spanner-Editionen verwenden (constraints/spanner.managed.restrictCloudSpannerEditions)

Weitere Informationen zu Richtlinien finden Sie unter Organisationsrichtlinien für Spanner verwenden.

Mit benutzerdefinierten Organisationsrichtlinien können Sie Einschränkungen für Spanner auf Projekt-, Ordner- oder Organisationsebene konfigurieren. Weitere Informationen finden Sie unter Benutzerdefinierte Einschränkungen erstellen und verwalten.

Netzwerksicherheit

Standardmäßig wendet Google standardmäßige Schutzmaßnahmen für Daten bei der Übertragung für alle Google Cloud -Dienste an, einschließlich Spanner-Instanzen, die auf Google Cloudausgeführt werden. Weitere Informationen zum standardmäßigen Netzwerkschutz finden Sie unter Verschlüsselung während der Übertragung.

Falls Ihre Organisation dies erfordert, können Sie zusätzliche Sicherheitskontrollen konfigurieren, um den Traffic im Netzwerk von Google Cloud und den Traffic zwischen dem Netzwerk von Google Cloud und Ihrem Unternehmensnetzwerk noch besser zu schützen. Beachten Sie dabei Folgendes:

  • Spanner unterstützt VPC Service Controls. Mit VPC Service Controls können Sie die Übertragung von Daten in Google-Diensten steuern und eine kontextbasierte Perimetersicherheit einrichten.
  • In Google Cloudist die gemeinsam genutzte VPC die empfohlene Netzwerktopologie. Eine freigegebene VPC bietet eine zentralisierte Verwaltung der Netzwerkkonfiguration bei gleichzeitiger Trennung der Umgebungen.
  • Verwenden Sie Cloud VPN oder Cloud Interconnect, um die Sicherheit und Zuverlässigkeit der Verbindung zwischen Ihrem Unternehmensnetzwerk und Google Cloudzu optimieren. Weitere Informationen finden Sie unter Network Connectivity-Produkt auswählen.

Weitere Informationen zu Best Practices für die Netzwerksicherheit finden Sie unter Zero Trust implementieren und Netzwerkdesign für Ihre Google Cloud Landing-Zone festlegen.

Anwendungsverbindung

Sie können die Verbindung zwischen Anwendungen und Spanner mit den folgenden Methoden sichern:

  • Serverloser VPC-Zugriff, um Spanner direkt mit Cloud Run zu verbinden.
  • Private Service Connect, um eine Verbindung zu einer verwalteten Anwendung in einer anderen VPC auf Google Cloud über die private IP-Adresse von Spanner herzustellen. Mit dieser Methode wird der Traffic in Google Cloudbeibehalten.

Weitere Informationen zu Optionen zum Einrichten von Verbindungen zu Diensten ohne externe IP-Adresse finden Sie unter Optionen für den Zugriff auf private Dienste.

Clientauthentifizierung

Spanner bietet die folgenden Authentifizierungsmethoden für Clients:

Datenschutz und Privatsphäre

Spanner verschlüsselt Ihre in Google Cloudgespeicherten Daten mit der Standardverschlüsselung. Beispieldaten:

  • Tabellen- und Spaltennamen
  • Indexnamen
  • Datenbankschema
  • In Tabellen gespeicherte Daten

Auf diese Daten kann nur über Spanner-Instanzen zugegriffen werden.

Sie können kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) aktivieren, um Ihre inaktiven Daten zu verschlüsseln. Bei CMEK werden Schlüssel im Cloud Key Management Service (Cloud KMS) als softwaregeschützte Schlüssel oder hardwaregeschützte Schlüssel mit Cloud HSM gespeichert, aber von Ihnen verwaltet. Wenn Sie Verschlüsselungsschlüssel automatisch bereitstellen möchten, können Sie Cloud KMS Autokey aktivieren. Wenn Sie Autokey aktivieren, kann ein Entwickler einen Schlüssel von Cloud KMS anfordern und der Dienst-Agent stellt einen Schlüssel bereit, der der Absicht des Entwicklers entspricht. Mit Cloud KMS Autokey sind Schlüssel bei Bedarf verfügbar, konsistent und entsprechen den Branchenstandards.

Außerdem unterstützt Spanner Cloud External Key Manager (Cloud EKM), mit dem Sie Ihre Schlüssel in einem externen Schlüsselverwaltungssystem außerhalb von Google Cloudspeichern können. Weitere Informationen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK) – Übersicht.

Wo Daten verarbeitet werden

Spanner unterstützt den Datenstandort für Daten, die auf Google Cloudgespeichert sind. Mit dem Datenstandort können Sie die Regionen auswählen, in denen Ihre Daten gespeichert werden sollen. Verwenden Sie dazu die Einschränkung für die Richtlinie zur Beschränkung des Ressourcenstandorts. Mit Cloud Asset Inventory können Sie den Standort von Spanner-Ressourcen prüfen.

Wenn Sie einen Datenstandort für Daten in Verwendung benötigen, können Sie Assured Workloads konfigurieren. Weitere Informationen finden Sie unter Assured Workloads und Datenstandort.

Datenschutz

Zum Schutz der Vertraulichkeit Ihrer Daten entspricht Spanner den Common Privacy Principles.

Cloud Spanner fungiert als Datenauftragsverarbeiter für Kundendaten. Google fungiert außerdem als Datenverantwortlicher für Informationen wie Abrechnung und Kontoverwaltung und Missbrauchserkennung. Weitere Informationen finden Sie in den Datenschutzhinweisen fürGoogle Cloud .

Audit-Logging

Spanner schreibt die folgenden Arten von Audit-Logs:

  • Audit-Logs zur Administratoraktivität: Umfassen ADMIN WRITE-Vorgänge, bei denen Metadaten oder Konfigurationsinformationen geschrieben werden.

  • Audit-Logs zum Datenzugriff: Umfassen ADMIN READ-Vorgänge, mit denen Metadaten oder Konfigurationsinformationen gelesen werden. Umfasst auch DATA READ- und DATA WRITE-Vorgänge, die von Nutzern bereitgestellte Daten lesen oder schreiben.

  • Audit-Logs zu Systemereignissen: Identifiziert automatisierte Google Cloud Aktionen, die die Konfiguration von Ressourcen ändern.

Weitere Informationen finden Sie unter Audit-Logging.

Access Transparency

Mit Access Approval und Access Transparency können Sie den Zugriff auf Spanner-Instanzen durch Google-Mitarbeiter, die den Dienst unterstützen, steuern. Dank der Zugriffsgenehmigung können Zugriffsanfragen von Google-Mitarbeitern bestätigt oder abgelehnt werden. Access Transparency-Logs bieten nahezu in Echtzeit Einblicke, wenn Google Cloud-Administratoren auf die Ressourcen zugreifen.

Monitoring und Reaktion auf Vorfälle

Sie können verschiedene Tools verwenden, um die Leistung und Sicherheit von Spanner zu überwachen. Berücksichtige Folgendes:

  • Mit dem Log-Explorer können Sie Ereignislogs ansehen und analysieren sowie benutzerdefinierte Messwerte und Benachrichtigungen erstellen.
  • Verwenden Sie das Cloud Monitoring-Dashboard, um die Leistung von Spanner zu überwachen. Weitere Informationen finden Sie unter Spanner überwachen.
  • Stellen Sie Cloud-Kontrollen und ‑Frameworks in Security Command Center bereit, um Sicherheitslücken und Bedrohungen für Spanner zu erkennen, z. B. Rechteausweitungen. Sie können Benachrichtigungen und Playbooks für die Analysten Ihres Security Operations Center (SOC) einrichten, damit sie auf Ergebnisse reagieren können.

Zertifizierungen und Compliance

Die Einhaltung der regulatorischen Anforderungen ist eine gemeinsame Verantwortung von Ihnen und Google.

Spanner hat eine Reihe von Zertifizierungen erhalten, darunter die folgenden:

  • ISO 27001
  • SOC 2
  • HIPAA

Weitere Informationen zur Compliance von Google Cloud mit verschiedenen regulatorischen Frameworks und Zertifizierungen finden Sie im Center für Compliance-Ressourcen.

Spanner unterstützt auch Assured Workloads. Damit können Sie Kontrollen auf bestimmte Ordner in Ihrer Google-Organisation anwenden, um Anforderungen in Bezug auf gesetzliche Vorschriften, Region oder Datenhoheit zu unterstützen. Weitere Informationen finden Sie unter Unterstützte Produkte nach Kontrollpaket.

Nächste Schritte